2001年10月5日
LiveUpdate 1.4~1.6の脆弱性に対する対策

リファレンス
Phenoelit Advisory #0815: http://www.phenoelit.de/stuff/LiveUpdate.txt

危険度

シマンテックでは、ユーザーがLiveUpdate 1.6に更新していない場合に発生する問題の危険性を中程度と評価しています。

対象
LiveUpdate 1.4~1.6

概要
LiveUpdateは、シマンテックの最新版の製品およびウィルス定義ファイルを提供するための技術です。Phenoelit.deと称する技術者グループでは、LiveUpdate 1.4および、危険の程度は低いもののLiveUpdate 1.6の潜在的な問題点について指摘しており、不正ソフトウェアの取り込み、システムへのリモート侵入、分散型サービス拒否(DDoS)などの攻撃の対象となる恐れがあるとしています。

詳細
Phenoelitグループの報告の内容は、次のとおりです。「LiveUpdate 1.4は(手動で、またはスケジュール設定したタスクとして)起動されると、"update.symantec.com"サーバへのアクセスを試みます。ハッカーは、各種ある攻撃のうちのいずれかを用いて、アクセスをしようとしているコンピュータへ偽った情報を送ることができます。次のようなケースが考えられます。

  • ハッカーがDNSサーバを制御して、symantec.comのマスターゾーンを作成する。
  • ハッカーがルーティング・ベースの攻撃を企て、DNSサーバを偽る。
  • ハッカーがDNSサーバのDNS破壊により、偽のIPアドレスを送る。
  • ハッカーがレイヤー2接続を妨害し、DNSサーバを偽る。
  • ハッカーがクエリーをしたコンピュータに対して偽のDNSレスポンスを送る。

Phenoelitグループによると、LiveUpdateを実行しているコンピュータがFTP経由でupdate.symantec.comに接続しようとすると、実際にはハッカーが選択したFTPサーバに接続します。次に、LiveUpdateは必要なファイルのダウンロードを試みます。このアーカイブには、シマンテック製品の全アップデートの一覧が含まれたファイルが含まれています。LiveUpdateはファイルを受け取った後、製品バージョンをシマンテック製品がインストールされているコンピュータのバージョンと比較し、該当するシーケンス番号を調べ、ファイルの更新が必要かどうかを確認します。更新が必要な場合、LiveUpdateは指定したファイルを受け取り、これを解凍してファイルに記載されている動作を実行します。これには、ダウンロードされた実行可能ファイルの実行が含まれます。

LiveUpdate 1.6は上記と同じ動作を行いますが、1点だけ異なります。実際にダウンロードされた更新ファイルには、すべての更新ファイルの「暗号化署名」が含まれています。この署名により、LiveUpdate 1.6が侵入ツールとして使用されることは事実上不可能になります。

しかしながら、大きなファイルをインターネット上で指定することで、スケジュール設定したLiveUpdateの実行により膨大なトラフィックが生成されることがあります。また、中規模な企業などにおいてはネットワークの性能低下や停止をもたらす危険性もあります。

シマンテックの対応
Phenoelitグループが指摘しているDNS攻撃は、目新しいものではなく、この問題に限ったことでもありません。これらは、シマンテック製品の問題ではなく、インターネット・インフラストラクチャの課題のひとつとして広く知られており、一般的に知られているDNSスプーフィング、リダイレクション、キャッシュ破壊攻撃に使用されています。これらの攻撃の識別やSANS研究所が特定したインターネット・セキュリティ危機におけるトップ20項目などのようなインターネット・インフラストラクチャへの影響の重視も手伝って、現在、脆弱なインターネット・ネーム・サーバのセキュリティ問題に対して、よりタイムリーな形で取り組みが進められています。

LiveUpdate 1.4は4年前に初めてリリースされ、その後、LiveUpdate 1.5に更新。最近になってLiveUpdate 1.6にアップグレードされ、新たなセキュリティ機能が追加されました。

Phenoelitでは、Norton AntiVirus製品においてLiveUpdate 1.4および1.5を使用しているユーザーは、ミスダイレクション攻撃による影響を受け、結果として悪質な実行可能ファイルをダウンロードして実行してしまう可能性があると指摘していますが、これはNorton AntiVirus機能の誤解です。
インターネット・インフラストラクチャ上のいくつかのポイントでのミスダイレクションは可能ですが、不正ソフトウェアのダウンロードや不正な実行可能ファイルの実行を試みた場合、Norton AntiVirusのAutoProtect機能により検出され、シマンテックのスクリプト・ブロッキング技術により実行が阻止されます。そして、それらのために必要なURLリストなども提供し、さらにシマンテック・セキュリティ・レスポンスの24時間体制の対応により、認識された不正行動を検出して阻止するための定義ファイルを迅速に作成および提供することができます。

とはいえ、シマンテック LiveUpdate 1.6は、Phenoelitグループが描いているDoSシナリオによって一時的に影響を受ける可能性があります。ただし、膨大な数のユーザーのうち、多少なりとも影響を受ける可能性のあるユーザーの割合は少ないと考えられます。これは、スプーフィングやリダイレクションが、本質的にローカルなインターネット領域や範囲に限られるためです。

シマンテックでは、常に弊社技術のセキュリティ増強に努め、このような問題の攻撃に対する製品の整合性をさらに強化した最新のLiveUpdateの提供を開始しました。

最新のLiveUpdateは、こちらからダウンロードできます。

謝辞
シマンテックでは製品のセキュリティを非常に重要視しており、懸念材料となる潜在的な領域を認定する上でPhenoelitグループのサポートに感謝しています。

Copyright (c) 2001 Symantec Corp
この報告の電子メールによる再配布は、変更等を加えない限り認められています。(Symantec Security Responseの許可を得た場合を除く)

免責
この報告における情報は、現時点で利用可能な情報に基づいて発行したものであり、発行時において正確なものとみなされています。情報の使用する場合は、そのままの状態で使用してください。この情報に関しては、一切の保証はありません。著者または発行者のいずれも、この情報を使用または信用した結果生じる直接、間接、または結果的な損失または損害に対しては一切の責任を負いかねます。
Symantec、Symantec Security Response、LiveUpdateおよびSym Securityは、Symantec Corp.または米国およびその他の国における関連企業の登録商標です。ここに記載されているその他の登録商標および商標は、それぞれ各社が所有しています。
Sym SecurityのPGPキーは、MITのPGPキー・サーバおよびcerserver.pgp.comから入手することができます。


米国サイト最終更新日:2001年12月26日
サイトマップ · 利用規約 · プライバシーポリシー · サイトに関するご意見・ご感想 · お問合わせ · 各国サイト
©1995 - 2009 Symantec Corporation