Trusted Design

解説:

CVE-2011-1889について、以下の観点で解説します。

1. 脆弱性の概要

Microsoft Forefront Threat Management Gateway (TMG) 2010クライアントのNSPLookupServiceNext関数にメモリ破損の脆弱性が存在します。この脆弱性は、TNGファイアウォールクライアントWinsockプロバイダーにおける不特定の要求の処理に関連しています。結果として、リモートの攻撃者が任意のコードを実行できる可能性があります。これは「TMG Firewall Client Memory Corruption Vulnerability」として知られています。

1.1 影響

この脆弱性が悪用された場合、攻撃者は影響を受けるシステム上で任意のコードを、クライアントアプリケーションのセキュリティコンテキストで実行する可能性があります。これにより、機密性、完全性、可用性のすべてに完全な影響を与える可能性があります。 攻撃者はプログラムをインストールしたり、データの閲覧、変更、削除を行ったり、完全な制御を奪取できる可能性があります。

1.2 深刻度

• CVSS v2.0 基本評価値: 10.0 (HIGH)
  • 攻撃元区分: ネットワーク (AV:N)
  • 攻撃条件の複雑さ: 低 (AC:L)
  • 認証要否: 不要 (Au:N)
  • 機密性への影響: 全面的 (C:C)
  • 完全性への影響: 全面的 (I:C)
  • 可用性への影響: 全面的 (A:C)
• CVSS v3.1 基本評価値: 9.8 (CRITICAL)
  • 攻撃元区分: ネットワーク (AV:N)
  • 攻撃条件の複雑さ: 低 (AC:L)
  • 必要な特権: 不要 (PR:N)
  • ユーザー対話: 不要 (UI:N)
  • スコープ: 変更なし (S:U)
  • 機密性への影響: 高 (C:H)
  • 完全性への影響: 高 (I:H)
  • 可用性への影響: 高 (A:H)

CISAの既知の悪用された脆弱性カタログにも追加されており、実際に攻撃で悪用されていることが示されています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

この脆弱性は、Microsoft Forefront Threat Management Gateway (TMG) 2010 クライアントに存在するため、TMG 2010クライアントがインストールされているWindows OSが影響を受けます。具体的に挙げられているOSは以下の通りです。 * Windows XP * Windows Vista * Windows 7

2.2 影響を受ける設定

影響を受ける設定は、Microsoft Forefront Threat Management Gateway 2010 Clientが稼働している環境です。 TMGファイアウォールクライアントWinsockプロバイダーに脆弱性があります。

3. 影響を受けた時の兆候

この脆弱性が悪用された場合、攻撃者はリモートから任意のコードを実行できるため、以下のような兆候が現れる可能性がありますが、具体的な挙動は攻撃の内容に依存します。 * システムクラッシュや予期せぬ再起動。 * 不正なプログラムのインストールや実行。 * データが改ざんされたり、削除されたり、外部に漏洩したりする。 * システムリソースの異常な使用。 * 不明なネットワーク接続の発生。

4. 推奨対策

4.1 本対策

Microsoft Security Bulletin MS11-040に記載されている適切なセキュリティ更新プログラムを適用することが恒久的な対策です。 この修正プログラムを適用することで、脆弱性が解消されます。

4.2 暫定回避策（緩和策）

Microsoftは、この脆弱性に対する軽減策を特定していませんが、更新プログラムを適用する前の一時的な回避策として、TMG 2010クライアントを無効にすることで、この脆弱性の悪用から影響を受けるシステムを保護できる可能性があると述べています。

参照したサイト

• CVE-2011-1889 Microsoft Forefront Threat Management Gateway NSPLookupServiceNext memory corruption (MS11-040 / Nessus ID 55120) - Vulnerability Database
• CVE-2011-1889 : The NSPLookupServiceNext function in the client in Microsoft Forefront Threat Ma - CVE Details
• CVE-2011-1889 | INCIBE-CERT
• CVE-2011-1889 - CVE Record
• CRITICAL Microsoft Corporation Vulnerability Alert - Patchcast
• CVE-2011-1889 - NVD
• Microsoft Forefront Threat Management Gateway TMG Firewall Client buffer overflow CVE-2011-1889 Vulnerability Report - IBM X-Force Exchange
• Microsoft Security Bulletin MS11-040 - Critical
• Microsoft Windows CVE-2011-1889 Remote Code Execution Vulnerability - FortiGuard Labs
• Microsoft Forefront Threat Management Gateway Firewall Client Memory Corruption Vulnerability | HKCERT - Hong Kong Computer Emergency Response Team
• Microsoft セキュリティ情報 MS11-040 - 重大
• 2011 年 6 月の Microsoft セキュリティ情報の概要
• Microsoft Forefront Threat Management Gateway 2010 NSPLookupServiceNext メモリ破損