ニュース
ESETカスタマーアドバイザリー 2016-0001
2016年2月19日
深刻度:クリティカル
概要
ESET は、複数の Windows 製品の EXE インストーラに対するDLL Search Order 攻撃を 防止するための対策を実施しました。
これらの対策が実施される前は、ESET のインストーラは、この DLL Search Order の脆弱性を利用して、昇格した特権を使用して DLL プリロードを行う脆弱性がありました。これは、インストール前にインストーラと同じフォルダに特殊な細工を施した DLL ファイルを配置することで実現できた可能性があります。このようなシナリオは考えにくいと思われるかもしれませんが、インストーラは通常、Web ブラウザが使用する「downloads」フォルダから実行されるため、ユーザがダウンロードした DLL ファイルが含まれている可能性があります。
ESETは、この欠陥が実際に悪用されていることを認識していません。
これらのHotfixの緩和策は、より包括的なソリューションに近いうちに置き換えられる予定です。
対処方法
影響を受けるESET製品がすでにインストールされている場合は、この問題に対処する必要はありません。ただし、EXEファイルのインストールパッケージを使用してESET製品をインストール、再インストール、またはアップグレードする場合は、事前にESETのWebサイトから最新バージョンをダウンロードしてください。新しい EXE ファイルをダウンロードできない場合は、既存の EXE インストーラを新しく作成した (空の) フォルダに移動し、そこから実行してください。
影響を受けるプログラムとバージョン
- ESET Smart Security Live Installer 9.0.19.0 およびそれ以前
- ESET NOD32アンチウイルスライブインストーラ 9.0.19.0以前
- ESET Smart Security Offline Installer 9.0.349.13 以前 (スロバキア語およびチェコ語版は 9.0.351.2 以前、ポーランド語版は 9.0.349.6 以前)
- ESET NOD32 Antivirus Offline Installer 9.0.349.13以前(スロバキア語およびチェコ語版は9.0.351.2以前、ポーランド語版は9.0.349.6以前)
- ESET AV Remover 1.1.3.0 およびそれ以前
- 2015年11月27日付ESET Endpoint Security with AV Remover 6.3.2016.0
- 2015年11月27日付ESET Endpoint Antivirus with AV Remover 6.3.2016.0
詳細
ESETのEXEインストーラファイルは、他のEXEファイルと同様に、動的にリンクされたライブラリ(DLLファイル)を使用することがあります。DLL ファイルは、実行ファイル自身またはオペレーティングシステムによって、DLL 検索順序の順次検索中に最初に見つかった場所からロードされます。デフォルトのDLL検索順序は、現在のプログラムがあるフォルダから始まります。したがって、顧客がEXEインストーラファイルをダウンロードフォルダにダウンロードし、攻撃者がインストーラが実行される前に、適切な名前の悪意のあるDLLファイルをそのフォルダに配置することに成功した場合、攻撃者のDLLが最初に見つかり、ロードされます。このDLLは、被害者のシステムを危険にさらす可能性がある。DLL Search Orderに関するマイクロソフト社の詳しい説明は、こちらをご覧ください。
2015年12月21日、セキュリティ研究者が当社製品の一部にこの脆弱性があることを説明し、当社はその日のうちにこのことを知りました。2015年12月30日、ESETはこの問題に対するホットフィックスの準備とテストを完了しました。翌日、英語、スロバキア語、チェコ語、ポーランド語ローカライズのESET Smart SecurityおよびESET NOD32アンチウイルスのインストールパッケージの修正版がリリースされ、2016年1月13日には残りのすべてのローカライズのアップデートがリリースされました。2016年1月21日にESET AV Remover 1.1.4.0のアップデートがリリースされました。2016年2月15日にESET Endpoint Security with AV Remover 6.3.2016.0およびESET Endpoint Antivirus with AV Remover 6.3.2016.0のアップデートがリリースされました。これらの最後の2つのアップデートは、以前の未修正リリースビルドと同じ製品バージョンで出荷されていることにご注意ください。
ESETはユーザビリティの観点からEXEインストーラを好んで使用します。WindowsネイティブのMSIインストーラでは、必要とされる可能性のあるすべてのアクション(例えば、インストールを続行する前に新しいバージョンのソフトウェアが利用可能かどうかを確認する、以前にインストールされたセキュリティソフトウェアをアンインストールするなど)を柔軟に実行することができません。このような状況にもかかわらず、ESET の EXE ファイルインストーラはバックグラウンドで MSI インストール手順を使用し、Microsoft のソフトウェアインストールガイドラインに準拠しています。
報告された問題に対するさらに強固な解決策を備えたインストールパッケージは、より多くのターゲットOS上で起こりうる攻撃シナリオをカバーするため、近日中にリリースされる予定です。
謝辞
ESETは、この問題を発見し報告してくれた独立系セキュリティ研究者のStefan Kanthak氏に感謝します。
フィードバックとサポート
これらのアップデートに関するフィードバックやご質問は、ESETセキュリティフォーラム、またはESETサポートまでお問い合わせください。
ESETへのセキュリティ脆弱性の報告
ESET では、製品のセキュリティ脆弱性の報告を歓迎しています。http://www.eset.com/int/security-vulnerability-reporting/ をご覧ください。
バージョンログ
- バージョン1.0(2016年2月19日):最初のバージョン
