Windows ヘルプとサポートセンターの脆弱性を利用した攻撃の回避方法
2010年6月10日に、Windows XPの脆弱性「ヘルプとサポートセンター」のバグが発覚してから、
約1ヶ月が経ちますが、現在この脆弱性を利用した悪質な攻撃が劇的に増加しているそうです。
この脆弱性は、一部のWindows XPやServer 2003の「ヘルプとサポートセンター」に存在するというもので、
ユーザーがブラウザや電子メール内のリンクを介し、特別な細工を施したウェブページを訪れた場合に、
リモートでコードが実行される可能性があるのだとか。
具体的には「hcp://」で始まる、特別な細工が施されたURLをクリックすると、
コードが実行される可能性があるとの事で、影響を受けるOSはXPやServer 2003のいくつかのバージョン。
Windows 7やVistaなどは影響を受けません。
(影響を受けるOSについては、このページ中程に記載したマイクロソフトのサイトに詳細が掲載されています)
というわけで、7月13日に予定されているセキュリティ・アップデートを前に、
Microsoftがこれらの危険性を回避する為の方法を何通りか提案しています。
・Fix itを適用する
・レジストリ設定を変更する
以下、これら2つの方法の手順を簡単に掲載してみました。
一つ目の回避策は、microsoftが公開しているFix itを使用します。
このFix itとは、一時的な回避策をまとめたスクリプトのようなもので、
自動更新が行われるまで待てないような場合に、とりあえずの対策として公開されます。
通常、OSで不具合が発生したり今回のような脆弱性が発見された際、
レジストリ設定を少し触るだけで、不具合や脆弱性をついた攻撃を回避できる事も多いのですが、
レジストリの設定の変更を行うにはリスクが伴うため、あえて自分では触らず、
パッチがリリースされるのを待つ方も多いと思います。
ですがこのFix itを適用すれば、自分でレジストリの設定などを行わなくても、
同様の操作を自動で実行させる事ができます。
以下、手順です。
今回の脆弱性の概要をまとめたページです。
→マイクロソフト セキュリティ アドバイザリ (2219475)
このページの中程に、「アドバイザリの詳細 問題の参照情報」という以下のような項目があります。
この参照情報のマイクロソフト サポート技術情報「2219475」をクリック。
このリンク先のページ「ヘルプ センターの脆弱性により、リモートでコードが実行される」で、
Fix it が公開されていますので、左側の「 Microsoft Fix it 50459 」をクリック。
プログラムはそのまま実行しても構いませんし、ダウンロードして実行してもOKです。
ダウンロードした場合、任意の場所にMicrosoftFixit50459.msiが保存されますので、ファイルを実行。
実行するとウィザードが開始しますので、
同意するにチェックを入れ、次に進みます。
Fix it 50459を適用中。
しばらくすると、処理されたとのアナウンス画面に変わります。
これでFix it 50459が適用されました。
ちなみに、このFix itを適用すると、HCPプロトコル(hcp://)の登録が解除されますので、
hcp:// を使用するヘルプのリンクが使えなくなります。
(ヘルプとサポートセンターのリンクなどが機能しなくなる)
なお、元に戻す場合は・・
先ほど適用したFix it 50459の右側にある、Fix it 50460を適用するだけでOKです。
なお、上記のFix itを使用しない場合、
レジストリを編集する事でも攻撃を回避する事ができます。
Fix it 50459を適用すれば済むだけの話なので、必要ないかとは思いますが、
レジストリ設定を変更する手順も以下に記載しておきます。
(操作を誤ると、システム自体がおかしくなってしまう可能性もありますので注意)
ファイル名を指定して実行 → Regeditと入力しOKをクリック。
するとレジストリエディタが起動します。
この中より、HKEY_CLASSES_ROOT¥HCPの位置にあるレジストリ キーを検索します。
HCPを見つけたら右クリック→エクスポートで、
レジストリ キーのバックアップを作成しておきます。
ファイル名は何でも良いですが、わかりやすくHCP_Procotol_Backup.reg
(マイクロソフトのサイトに記載されている通り)と入力してみました。
バックアップのエクスポートが済んだら、レジストリキーを削除します。
レジストリキー削除の確認ダイアログがでるので、はいをクリック。
これでOKです。
ちなみに、やはりこちらもFix itを適用した場合と同じく、
ヘルプとサポートセンターのリンクなどが機能しなくなる可能性があります。
レジストリの内容を元に戻したい場合は、再度レジストリエディタを起動させ、
ファイル → インポートを選択して先ほどのHCP_Procotol_Backup.regを開くだけで元に戻ります。
セキュリティ更新プログラムの提供は13日ともうすぐですので、今更という感じもしますが、
現在攻撃が急増しているとの事ですので、気になる方はとりあえずの回避策として参考までに・・