米マイクロソフトのセキュリティ情報「MS08-001」に対処する難しさ:ITpro

でも思ったより、MS08-001は悪用されていませんよねぇ。。。。でも悪用されたらものすごく影響がでかいんですよ!これ。

MS08-001でパッチが適用されたCVE-2007-0069の危険性をまだ知らない読者のために,以下に概要をまとめておこう。

  • 現在サポート対象となっているマイクロソフトの全OSに影響する
  • デフォルトで有効(Windows Server 2003は除く)
  • リモート攻撃が可能
  • ユーザーの操作は不要

これらは,「攻撃にはうってつけ」と言っているに等しい。詳細は,米IBM ISS(インターネット・セキュリティ・システムズ)のWebサイトに掲載されている。

ホストベースだったら攻撃を確認できないし、アンチウイルスも動作しないそうです。

なぜ?!?!昨今はFireWallやIPSがアンチウイルスに入っている気がするけど・・・

したがって,今回のTCP/IPカーネルのぜい弱性に対する,ホスト・ベースの保護で問題となるのは,製品の多くが攻撃を全く確認できないということだ。標準のアンチウイルスは作動せず,またバッファ・オーバーフローなどの一般的な保護を含む阻止機構も働かないだろう。その理由は,アンチウイルスがこのような低レベルの監視を行わず,エクスプロイトがTCP/IPスタックをくぐり抜けることなど決してなかったからだ。ほとんどの場合,実際にこの攻撃を防ぐ方法は,パッチを当てるか,マルチキャスト機能を全体で無効にするかしかない。そうすると,ストリーミング・メディア・アプリケーションやファイル分散システムなど,多くの有用なものまで無効化してしまう。

screenshot