4 月のセキュリティ センセーショナリズムと FUD

たまたまセキュリティ シーンをフォローしている場合は、今月発見されたさまざまなセキュリティ問題に関する多くの話題に気付いたはずです。具体的には、MS16-039 セキュリティ情報で概説されている Microsoft Graphics コンポーネントの重大な脆弱性、Badlock バグと呼ばれるものに関する話や噂、および Firefox アドオンの使用に関連するリスクです。それがクリックベイトの誇大広告のナンセンスにすぎないことを除けば、すべて順調です。

記事を読んだことで怒りが頂点に達したため、この記事を書く前に 1 日か 2 日待たなければなりませんでした。そうでなければ、それはただの悪意と罵り言葉だったでしょう。しかし、自分自身を表現し、インターネット ユーザーを無意味でアマチュア的でセンセーショナルなハッカーになりたがる今月のセキュリティ 下痢の嵐から守ることが重要です。フォローしてください。

あなたのラグナロクはすべて私たちのものです。

Noscript やその他のアドオンが数百万人を新たな攻撃にさらす

デジタルヤギフェストとしか言いようのないものにトラフィックを誘導しないように、問題の記事にはリンクしません.本質的に、この記事は、すべての Firefox アドオンが同じ名前空間を共有しているため、つまりメモリ分離がないため、潜在的に悪意のあるアドオンが他のアドオンを詮索する可能性があることを示しています。それが話です。 Noscript は、非常に便利で重要なアドオンであり、Firefox ユーザーに特効薬のセキュリティを提供します。この記事では皮肉を込めて取り上げています。

完全なナンセンス。

問題は、もちろんトラフィックを増やすことは別として、そして恐怖のように繁殖してページビューを生成するものは何もないということです.強調表示された問題は、ユーザーが悪意のあるアドオンを自分でインストールした場合にのみ問題になる可能性があるためです.はい、そうです。自分が感染すれば感染する可能性があります。なんてこった、シャーロック。さて、これはどのように起こるのでしょうか:

署名されていないアドオンを自分でインストールします。感電してください。

スクリーニング、テスト、およびデジタル署名を行った後、Mozilla リポジトリからアドオンをインストールします。つまり、アドオンサーバーがハッキングされた場合、ユーザーは、他の拡張機能をターゲットとする拡張機能よりもはるかに大きな問題を抱えることになります.

次に、そのような攻撃の有効性があります。システムへの特権アクセスを取得できる場合、他の拡張機能を盗聴することは、最も役に立たないことです。誰かの電話を盗聴し、ベッドの下に隠れて通話を聞いているようなものです。または、そのような類推。誰も気にしない。

言い換えれば、このセキュリティ上の問題はまったく問題ではありません。システムに損害を与えることに熱心なユーザーからの積極的で意図的な対話が必要です。さらに言えば、どのマルウェアでもマシンを感染させることができます。名前空間が 1 つしかないものを他に知っていますか?あなたのカーネル。

Microsoft セキュリティ情報 MS16-039

これは興味深いものです。この特定の項目の上位 20 件の結果には、すべて 1 つの共通点があります。それは、元の考えや貴重なコメントを 1 つも提供せずに、実際の勧告を一字一句コピペしたことです。それがジャーナリズムなら、私はシェイクスピアです。

これら 20 の Web サイトのうち、1 つの情報源のみが EMET に言及しています。これは、Microsoft によって開発された非常に有用で重要な軽減フレームワークであり、エクスプロイトに対する優れた保護を提供します。しかし、それは十分に劇的ではありません!また、セキュリティ ブログを自称または自称するブログが他に 1 つだけありましたが、実際に問題とその発生方法の概要を詳しく説明していました。

どうやら、4 つの個別の脆弱性があり、そのうちの 3 つはローカルのものです。組織内で多くの人が働いている企業でない限り、退屈です。 1 つは、ユーザーが特別に細工されたドキュメントを開いた場合 (感電死してください)、または悪意のあるフォントが埋め込まれたページにアクセスした場合のリモート実行の問題である可能性があります。

このセキュリティ更新プログラムは、Microsoft Windows、Microsoft .NET Framework、Microsoft Office、Skype for Business、および Microsoft Lync の脆弱性を解決します。最も深刻な脆弱性により、ユーザーが特別に細工されたドキュメントを開くか、特別に細工された埋め込みフォントを含む Web ページにアクセスした場合、リモートでコードが実行される可能性があります。

さて、この時点で、問題を書き留めました。よし、次は？エクスプロイトは実際にどのように機能しますか?ユーザーは実際にどのようにしてこのことから身を守っているのでしょうか?

何もない。沈黙。不平を言ってこのドラマを書いている人々は、実際には助けたくないからです。彼らは単に注目を集め、恐怖とプロパガンダから利益を得たいだけです.また、実際に支援するために必要な技術的専門知識を持っていない可能性が高いです。それはそれらを役に立たなくします。

適切な分析

それでは、何が得られるか見てみましょう。まず、Microsoft が提供するセキュリティ更新プログラムを実際にインストールできます。大したことはありません。これは、特定のアドバイザリが特別な言及を保証するものではないことを意味します。ただし、技術的なことを知りたい場合は、このトピックについて書いているブログとは異なり、Microsoft がこのトピックに関する多くの有用な情報を提供しています。

4 つの脆弱性のうち 3 つが次のカテゴリに分類されます。 アドバイザリ CVE-2016-143、-165、および -167 によって特定された複数の Win32k 特権昇格の脆弱性。それらはすべてローカルであり、そのうちの 2 つはアクティブなエクスプロイトを持っています。大多数のホームユーザーにとっては面白くありません。

4 つ目の「グラフィックス メモリ破損の脆弱性 CVE-2016-0145」は、すべて埋め込みフォントに関するものです。現在、それは公開されておらず、悪用もされていません。しかし、それは本当にあなたを慰めたり心配したりするべきではありません.教育がすべてだからです。今日パッチが適用されることを心配したくありません。私たちは、注目の瞬間があるかどうかにかかわらず、同様の性質の潜在的な将来のすべての脆弱性に対処できるようにしたいと考えています。

つまり、埋め込みフォントに注目する必要があります。これが問題の原因です。悪意のある埋め込みフォントが Web ページに存在し、ユーザーがそのページにアクセスすると、システム フォント ライブラリが機能しなくなり、任意のコードが実行される可能性があります。

つまり、埋め込みフォントを停止したり、ブラウザがフォント ライブラリを不正に呼び出したりするのを停止したいのです。これらのベクトルのいずれかまたは両方を停止すると、エクスプロイトを防ぐことができます。

1 つ目は、埋め込みフォントを許可しないことで対処できます。一般に、埋め込みフォントは @font-face CSS ルールを使用して表示されます。つまり、ページの読み込み時にこの特定の CSS ルールが解析されないようにすると、埋め込まれたフォントが読み込まれず、潜在的なエクスプロイトが実行されなくなります。

ノスクリプトと、それが直前にどのように中傷されたかを覚えていますか?

Noscript は、信頼できないページで @font-face を実際にブロックします!

実際、Noscript は何百万人もの人々を危険にさらさないだけでなく、何百万人もの人々が埋め込みフォントの潜在的な問題にさらされるのを防ぐのに役立っています。それは、本当の正当化なしに、どれだけの誇大宣伝とドラマがあるかを示しているだけです.しかし、私たちはまだ始まったばかりです。

2 番目のベクトルは、違法な方法でフォント ライブラリを呼び出すことによってブラウザが狂ってしまうことです。これこそまさに、Enhanced Mitigation Experience Toolkit の目的です。非常に気の利いたセキュリティツールです。ゼロフットプリント、ナンセンス。良いアプリケーションと悪いアプリケーションを区別しません。その翼の下で実行されるプログラムで検出できるすべての不正な命令を停止します。

そして、実用的で有用な質問は次のとおりです。ブラウザーのいずれかを使用して、EMET で埋め込みフォントのエクスプロイトをテストした人はいますか?それとも、オフィス ツールや Skype などでしょうか。違法な命令をトリガーする埋め込みフォントのトリックを試した人はいますか?

軽減策について言えば、Microsoft は信頼されていないフォントのブロックに関するページ全体を公開しています。 GDI が %windir%/Fonts ディレクトリ外のフォントを読み込まないようにする緩和オプションを追加する方法について説明します。これは、まさにこの場合に必要なものです。つまり、この性質のエクスプロイトによって問題が引き起こされることはありません。ですから、センセーショナルな記事はすべてただのたわごとです。

この記事は Windows 10 に適用され、この機能を適切に補完する EMET 5.5 についても言及しています。 Windows 7 と Windows 8.1 のユーザーがまったく同じレベルのセキュリティの恩恵を受けるかどうかはわかりませんが、実際より悪くなることはないでしょう。

信頼できないフォントをブロックする

とにかく、信頼できないフォントをブロックする方法は次のとおりです。 regedit.exe を起動し、次の場所に移動します:

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\

このハイブの下で、MitigationOptions キーを探します。存在しない場合は、QWORD (64 ビット) 値を作成し、それに応じて名前を変更します。この記事では 64 ビット アーキテクチャを想定しているため、32 ビット システムでは DWORD (32 ビット) 値が必要になると思います。正しい値を割り当てます。信頼されていないフォントをブロックするには、1000000000000 という長い数字が必要です。これを、既に設定されている他の緩和値に追加します。この数値は実際にはフィルターです。

そしてそれは子供です、赤ちゃんはどのように作られますか！

その他

より通常の怖がらせがあります。閃光。うーん、退屈。繰り返しますが、実際に自分自身を守る方法についての賢明な手がかりはありません。今月トラックがあなたに衝突するかもしれないと言っているようなものです。はい。しかし、道の真ん中に立たなければ、その可能性を大幅に減らすことができます。回避策を気にしたり、知ったり、言及したりする人は誰もいません。上位 20 件の検索のうち合計 1 件だけがユーザーに実際のヘルプを提供しましたが、それでも EMET とその仕組みに関する情報はあまり多くありませんでした。

なぜこんなに誇大宣伝をするのでしょうか？

デドイメド、どうして他の連中は助けてくれないの？なぜ彼らはセキュリティをこれほどまでに誇大宣伝するのでしょうか?すべての良い質問。これにはいくつかの答えがあります。最初の明白なことは、ユニコーンや虹を売って金持ちになった人は誰もいないということです。人々はドラマが大好きです。第二に、より優れた実質的なコンテンツがないため、セキュリティ速報を再ハッシュすることは、純金でパンを焼くのと同じくらい良い.しかし、最も重要なことは...

兵役

西側世界のすべてではないにしてもほとんどのセキュリティ ブロガー (re:カリフォルニア州) は、いかなる種類の兵役も経験していません。強くお勧めします。胸に髪を、大根にマスタードを追加します。性格を構築し、社交を強要し、規律を学ぶだけでなく、最寄りのバイオメタミルクコーヒーショップにセグウェイで向かう途中で、Spotify を通常聞くのとは異なる人生観を与えてくれます。

したがって、あなたの人生が、貧困、飢饉、病気、奴隷制度、人身売買、暴動と革命、戦争、その他のこの世界の喜びなど、人間の存在のよりふわふわした側面にさらされていない場合は、QWERTY (または DVORAK) に進みます。オペレーティング システムで検出されたセキュリティの問題は、突如として非常に興奮します。

次のセキュリティ アドバイザリに向かう途中のブロガー。

つまり、爆発はオレンジ色で、病的な緑と黒の端末ウィンドウでハッキングが発生するというハリウッドの大ヒット作の精神に深く入り込みすぎていると、現実を簡単に把握できなくなり、突然、単純なフォントの脆弱性と考える可能性があります。 SARS とエボラ出血熱を合わせたものと同じくらい重要であり、それについてブログを書くことで、ジブチの海岸に上陸したばかりのフランス軍団の連隊と同じくらい悪い人になることができます。

結論

あっという間の4月です。新しいものは何もありません。エキサイティングなことは何もありません。価値のあるものは何もありません。それどころか、ドラマとショックを引き出すように設計された多くの有害なナンセンスがあり、画面に貼り付けて読んで、身を守る方法を教えずに怖がらせます. Noscript、EMET、ねえ、データのバックアップはどうですか?何もない。

私がソフトウェアのセキュリティについてどのように感じているかは、皆さんすでにご存じのとおりです。完全に過大評価です。そして、実際にユーザーを教育せずにそれについてブログを書いている人々は、彼らが説教していると思われる敵に勝るものはありません.貢献する価値のあるものが何もない場合は、そもそも何も書かない方がよいでしょう。誰でもマイクロソフトのセキュリティ情報を読むことができます。まったく同じ情報を繰り返す必要はありません。また、Firefox 拡張機能などの基本的な機能がどのように機能するかを知らずに、FUD やプロパガンダを広めることもありません。でもねえ、それが私たちが住んでいる世界です。本当に重要なことは、サイトがすべてモバイルフレンドリーであるため、ランキングが高いことです。右？やっぱり貴重な情報。

注:古い写真はすべてパブリック ドメインです。

乾杯。