Skype、OpenWhisperを使った秘匿通信機能をベータ版に導入
WhatsAppやSignalのグループチャット、内容を盗み出す方法が判明
「WhatsAppに問題、『潜在的な攻撃者』が暗号化されたグループチャットの内容を盗聴できることが判明」
Facebook傘下のWhatsAppや、その通信プロトコルの元を提供しているSignalに、潜在的な問題があると判明しました。これらで使われるOpenWhsiperは端から端までの全域暗号化(end-to-end encryption)などで、運営者(WhatsAppやSignal自身)すら盗聴できないという秘匿性が高い通信を可能とする点がウリです。
今回判明した攻撃手法は、サーバを掌握した状態が前提です。その上でグループチャットに攻撃者が管理するメンバーを追加すると内容が盗聴できる、というもの。1対1の通信には、この影響は全くありません。
「グループチャットにメンバーを追加したら分かるからいいのでは?」という話もあるのですが、同時にサーバ管理者はメッセージを改変(またはブロック)することも可能なため、メンバー追加メッセージをブロックすることで追加を見えづらくできる、と(本件を発見した)研究者は指摘しています。
研究者は対策として、メンバーの追加にはグループ管理者の認証を求めるべきとしています。
WhatsAppは本件について事前に通知を受けていたものの、他のメンバーがわかる、とコメントしています(つまり少なくとも当面は対応する考えはない模様)。
OpenWhisperのアピールポイントが「たとえ事業者自身であっても通信内容を盗聴できない(だから仮にNSAなどにFISAで強制されても内容が漏洩することはない)」であることを考えると、「対策されない限りグループチャットはOpenWhisperに期待される安全性は満たさない」とみられても仕方ないかと思います。
US-CERT、MeltdownとSpectreへの対策で実現困難な項目を記載(改訂済)
【重要】この件は既に改訂済みなので、カテゴリはmiscです。
「US-CERT、MeltdownとSpectreの修正手段にCPU交換を挙げてしまう」
米国でITセキュリティ関連の情報収集や分析、調整などを行う中枢組織であるUS-CERTが、先日のMeltdown, Spectreについて出した記述において、実現が難しい「対策」が書いてありました。
(WebArchiveに残る記述)
対策済みのCPUが出て、マザーボードが互換ならば交換できないこともない……かもしれませんが、まあ、あまり現実的とは言えませんね(ちなみに次の項目では「アップデートの適用」もちゃんと書いてありました)。
なお、現在の版では(元の記述を意識しつつ)改訂されています。
「Consider CPU Options(CPUについてオプションを検討する)」の項目で、次のように記載されています。
既存のシステムのCPUの交換が現実的でないことは、我々も認識していますが、新しいシステムを導入する組織では、これらの脆弱性が残る期間とソフト的なパッチ適用によるパフォーマンスへの影響を勘案してCPUを選定するべきでしょう。
セキュリティソフトが更新されないとWindows Updateが来ない時代に
「マイクロソフト曰く『アンチウイルスがレジストリ設定しない限りWindows Updateも降ってきません』」
先日のMeltdown, Spectre脆弱性の影響は、思わぬ形で影を落としつつあるようです。
マイクロソフトはこの脆弱性への緊急パッチを公開しました(AMDの一部CPUでトラブルが起きてますが)が、この時に特殊な制約を課しました。それは「PC内のアンチウイルスソフトが今回の変更の影響に対応し、その証として所定のレジストリを設定する」ことです。
そして1月9日(米西海岸時間)、Windows Updateの2018年1月分パッチが公開された……のですが、人によっては、Windows Updateでチェックしても何も来ていないかもしれません。
実は、それはアンチウイルスの問題です。
2018年1月(およびそれ以降)のパッチは全て、先ほどのアンチウイルス対応の証であるレジストリの設定がない限り、自動的には来ないのです。それが最初に挙げた記事の趣旨です。
Meltdown, Spectre以外にもパッチの対象はあるので、あまりにも反応が遅いようなら、アンチウイルスソフトのベンダーに問い合わせてみるのもいいかもしれませんね。「自分でレジストリを設定してください」とか言われてしまうかもしれませんが……。
WDのMyCloudに重大な脆弱性、早急なパッチ適用を
Western DigitalのMyCloud NASシリーズの重大な脆弱性が(Metasploitモジュールつきで)公開されました。
「WDMyCloud バージョン2.30.165以下の複数の脆弱性」(情報源)
「Western Digitalの『My Cloud』ストレージの未対応の重大な問題が公開」(報道例1)
「Western DigitalのNAS HDD、バックドアアカウントを削除」(報道例2)
タイトルの通りで、WDのNAS、MyCloudシリーズの脆弱性が公開されました。
この製品の性質上、インターネットから到達可能な場所(個人用ルータのDMZなど)に配置することも多いと思いますので、とにかく一刻も早くパッチを適用する必要があります。現在はMiraiなどのワームが大流行しており、このバックドアも既に対応されていると考えるべきでしょう。
なお、ネットからの直接アクセスできなければ安心とも限りません。バックドアアカウントは単純なimgタグによりコマンドを実行できてしまうため(元の報告にはタグの具体例すら書いてあります)、クラッカーは様々な場所に広告なり投稿という形でリンクをまき散らすことが可能です。
脆弱なMyCloud利用者がブラウザでそのページをアクセスした瞬間、(たとえブラウザや、アクセスするPCなりスマートフォンなりに脆弱性がなくても)ブラウザ経由で同一LAN内のMyCloudバックドアアカウントが攻略される、というわけです。極論すれば、自宅や職場のLANに接続したスマートフォンのアプリに出てくる広告から攻撃するシナリオ(Malvertising組み合わせ)も想定できるでしょう。
(※)もちろんLAN内でのNASへのURIが正しければの話ですが)
というわけで、とにかくパッチを適用しましょう。
ブラウザのパスワード管理機能の悪用方法が明らかに
少し前のネタで、国内でもある程度流れてますが一応。
「主要なブラウザの実装上の問題のため、保存されたパスワードを外部スクリプトで盗み出すことが可能と判明」
これは「パスワード・マネージャ」の話ではなく、ブラウザ自身のパスワード保存機能の話です。
現在のブラウザのパスワード保存機能は、同一ドメインのフォームで同一項目があった場合、内容を自動的に埋めます(Chromeはページ内のどこかをクリックした時に埋めますが、この程度だと防御にはならないでしょう)。
このため、同一ドメイン内で動作するスクリプトが見えないフォームを作った場合にも、やはり内容が自動的に入ります。
つまり、広告や追跡用の外部スクリプトも、これらの情報を盗み出せるということになります。大手のサイトは外部の広告が大量に入っていますから、この方法でパスワードが抜き出せることが懸念されます。
この問題を発見した研究者たちが調査したところ、一部の追跡スクリプトはこの問題を既に活用しており、メールアドレスを取り出していたそうです。これはcookieの削除などを含めた措置を超えて利用者を個別に追跡できるため、彼らにとって非常に有用とみています。ただしパスワードは盗まれていなかったそうです。
Wordの「サブ文書」機能、Windowsパスワードハッシュ窃取に使える場合があると判明
「フィッシングに悪用できるWordの機能:『サブ文書』」
https://rhinosecuritylabs.com/research/abusing-microsoft-word-features-phishing-subdoc/rhinosecuritylabs.com
「ワードのサブ文書機能、Windowsの認証情報窃取に悪用可能と判明」
Microsoft Officeはとても多機能であり、あまり使われない機能も多数あります。しばらく前にDDE機能が悪用されていましたが、今回は「subDoc」機能の悪用です。ただし悪用できる範囲は限定的とは思います。
「サブ文書」は「グループ文書」機能の一部で、複数の文書をリンクして使うもの、のようですね。
悪意ある者がSMBサーバを用意し、サブ文書を要求する形の文書をターゲットに開かせると、サブ文書要求時にNTLMv2ハッシュが送信される、というのが狙いです。ハッシュからパスワードを求めるツールは多数あるので、これでWindowsログオンパスワードがわかる、という寸法です。
なお、この攻撃が成立するにはSMBパケットが外部に出ていく必要がありますが、多くのルータは外部向けSMBパケットを遮断するはずです。なので、攻撃が成立する対象は限定的なはずです。
