XPSP2のIEにおけるローカルコンピュータゾーン上のHTMLファイルの危険性の評価

ローカルコンピュータゾーンのロックダウン

既にネット上で何回言及されたのか不明なほど数限りなく語られたWindowsXPSP2におけるローカルコンピュータゾーン上のHTMLファイルのロックダウンなのですけれど。念のためにリソースを。

本件の話題とははずれますが本日上記文献を読んでいて気がついたものを書いておきます。上記文献から引用。

Web ページを常にインターネット ゾーンの一部として処理する場合は、次の Web のマークを使用することができます。

<!-- url=(0013)about:internet から保存 -->

このコメントを使用するのは、Web のマークを一般的に挿入する場合です。about:internet は、インターネット ゾーンのページで置き換えられます。

ええと、mark of the web の解説としては不適切ではないかと(汗)。あんまり日本語に訳しすぎです。それはともかく本題に戻ります。

WindowsXPSP2ではローカルコンピュータゾーン上のHTMLでは早い話、スクリプトが動かんようになって、一部技術者さんたちは大変な思いをしてアプリの修正をしたはずです。大概は"Web のマーク"あるいは"Mark of the Web" の挿入をして堪えたと思うのですよね。場合によってはユーザに修正してもらったこともあるのではと。

ロックダウンのお陰でローカルコンピュータゾーンのHTMLファイルを安易に開いても悪意あるスクリプトも善意のスクリプトも"Mark of the Web"の記述が無い限り作動しなくなりましたと、これがXPSP2のセキュリティ強化策のひとつだったわけでして。

で、"Mark of the Web" は通常インターネットゾーンの権限を与えるように読めます。しかしながらちょっとイジクルとあらかじめどのような名前のサイトがイントラネットゾーンにあるかを知っていれば任意のローカルなHTMLファイルはインターネットゾーンではなくイントラネットゾーンの権限でスクリプトActiveXが作動します。まぁこのへんも恐らく既知であり想定の範囲内でしょう。

ここらあたりちょっと説明不足を感じましたので6/8の日記に補足説明を試みることといたします。会社等組織内と個人宅とでは様相が異なりますので対策も異なってくるのです。

では悪意あるHTMLファイルはどこまで権限が強くなれるのでしょう。巷間知られている限りでは、HTMLファイルは"Mark of the Web"ではイントラネットゾーンの権限の取得が精一杯であり、しかもその為にはユーザのマシンにおいてどのようなサイト名がイントラネットゾーンとして定義されているのかをあらかじめ予見しておく必要があります。ゆるゆるの場合もしばしばあるでしょうけれどね。くどい説明ですみませんが。

ローカルコンピュータゾーンのロックダウンを回避して信頼済みサイトゾーンでHTMLファイルからスクリプトないしActiveXを作動させる

御存知のようにXPSP2の既定値では信頼済みサイトゾーンにてなんでもアリの権限で悪意あるスクリプトを含んだHTMLによる攻撃が可能ですが、ローカルコンピュータゾーンでは信頼済みサイトゾーンの権限を与える方法は公知されていません。公知されていればXPSP2のローカルコンピュータゾーンのロックダウンはなんら意味を持たないことになります。

残念ながらついこの間、愛機のsharpWindows98機が壊れて自作機のXPSP2機を導入してすぐに、ローカルコンピュータゾーン上のHTMLファイルが信頼済みサイトゾーンの権限で作動しうることを偶然みつけてしまいました。但し、攻撃者は被害者がどのようなサイトを(たったひとつでも良いので)信頼済みサイトゾーンとして登録しているかを知っておく必要があります。任意のサイトひとつだけでよいです。しかしながら、ほかならぬMicrosfot社が、信頼済みサイトゾーンとしてhttp://windowsupdate.microsoft.comを登録することを強く推奨している文献もあるのです。また、信頼済みサイトに登録を要請するサイトも少なからずあります。(このこと自体なんら問題がありません。条件付ですが。条件とは信頼済みサイトゾーンに与える権限をインターネットゾーンなみに制限することです。)悪意ある者は比較的無視できないほどの低くない蓋然性をもって被害者のPCがどのようなサイトを信頼済みサイトゾーンに登録しているのかを推測できるかもしれません。

ローカルコンピュータゾーンのロックダウンを回避して信頼済みサイトゾーンの権限でローカルなHTMLファイルからスクリプトないしActiveXを作動させることが可能であることが脆弱性であるのかあるいは予定された仕様なのか、私にはわかりかねていましたので今日まで何も言わないで来ましたが決心がつきました。危なそうならIPAに報告してしまえばいいじゃないかと。私ごときの個人がいちいち悩んでいてもしかたがありませんので。

というわけで週明けには極めて簡単なPoCをIPAに報告する予定です。Cドライブのルートに許可無くエクセルのファイルを作っちまうやつですが、いまいちインパクトが。orz。もうちっと考えてみようかな?ちなみに、"Mark of the Web"とは全く無関係ですので、そちら方面をほじくらないでくださいませ。時間の無駄です。

ユーザによる自衛策

信頼済みサイトゾーンのセキュリティー設定を『中』以上にしてください。これでインターネットゾーンと同様になりますので。これで動かんアプリは捨ての方向で。

っていうか色々ダウンロードサービスをしてくれる皆さん、HTMLファイルでreadmeを作るのやめて下さいませんかねぇ。ブツブツ。

おながいしまつ

ヘタレな私としてはものすごく心配なのです。もしも上記で語った脆弱性モドキが本当に脆弱性であると思う方々(かたがた)、お願いですから私をプッシュして下さいませんでしょうか。完全匿名で構いません、コメント希望です。おながいしまつ。ちなみに当日記では一切ログを採取していません。ログ採取は意味がないことを悟っております。これはこれでアレかもしれませんが♪

その後報告し【IPA#68046206】 届出情報受信のご連絡を頂いております。(6/9)・・・皆様のお力添え有難うございました。

IPA#68046206】が受理されました。(6/14)

右の鼻をかんだらちょっとだけ血がついてたよ

ちょっとまずいかも。入院予定は7月下旬にほぼ決定なり。まにあえ>自分のからだ。

このさいなので知っていることは惜しみなく公開する決意を持った次第。(数パーセントとはいえ)死んで花実が咲くものかと。但し節度を持った公開の方向で。今日はセキのし過ぎで左側の肋骨を痛めたらしく呼吸する度に微妙な痛みが。肋間神経痛ってこんなのだろうかと想像してみたり。セキすると強烈に痛いのですが。ジタバタ。