公開日:2017/08/04 最終更新日:2017/08/04

JVNVU#92360223
Microsoft Windows のショートカットファイルで指定されたコードが自動的に実行される脆弱性

概要

Microsoft Windows には、ショートカットファイル (LNK) で指定されたコードが自動的に実行される脆弱性が存在します。

影響を受けるシステム

  • Microsoft Windows

詳細情報

Microsoft Windows には、コントロールパネルにおけるショートカットファイルのアイコンの取得に問題があります。攻撃者は細工したショートカットファイルを使って不正な DLL をコントロールパネルのコンテキストで実行させ、結果として任意のコードを実行させることができます。

本脆弱性のオリジナルは VU#940193 (CVE-2010-2568) で説明されています。CVE-2010-2568 およびその後に公開された CVE-2016-0096 における修正では、SpecialFolderDataBlockKnownFolderDataBlock 属性を使用してフォルダの場所を特定する LNK ファイルについて考慮しておらず、そのような LNK ファイルは CVE-2010-2568 で実装されたホワイトリストを回避できます。

想定される影響

細工されたショートカットファイルをユーザに表示させることで、ユーザの権限で任意のコードが実行される可能性があります。
また、OS およびオートラン/オートプレイの設定によっては、USB デバイスを接続するだけで、任意のコードが実行される可能性があります。

対策方法

アップデートする
この問題は Microsoft Update で修正されています。

外向きの SMB 通信を遮断する
139/tcp、139/udp、445/tcp および、445/udp の外向きの通信を遮断することで、本脆弱性の脅威を緩和することが可能です。

ベンダ情報

ベンダ リンク
Microsoft CVE-2017-8464 | LNK のリモートでコードが実行される脆弱性
CVE-2017-8464 | LNK Remote Code Execution Vulnerability

参考情報

  1. US-CERT Vulnerability Note VU#824672
    Microsoft Windows automatically executes code specified in shortcut files
  2. US-CERT Vulnerability Note VU#940193
    Microsoft Windows automatically executes code specified in shortcut files
  3. Japan Vulnerability Note JVNVU#940193
    Microsoft Windows のショートカットファイルの処理に脆弱性

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
基本値: 7.8
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:N/AC:L/Au:N/C:P/I:P/A:P
基本値: 7.5
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2017-8464
JVN iPedia