マイクロソフト 日本のセキュリティチームより、[回避策まとめ] セキュリティ アドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される が公開されています。一部、転載させていただきます。
出展:
http://blogs.technet.com/b/jpsecurity/archive/2014/04/30/workarounds-for-security-advisory-2963983.aspx
———————————-
■ 回避策
セキュリティ更新プログラム公開までの間、お客様の環境を保護するために、以下の回避策を実施してください。
———————————-
個人のお客様
※はじめに、お使いの Windows のバージョンを確認する方法はこちら、またお使いの Windows が 32 ビットか 64 ビットかを確認する方法は「自分のパソコンが 32 ビット版か 64 ビット版かを確認したい」をご参照ください。
———————————-
32 ビット (x86) 版の Windows 7 以降のオペレーティング システムをお使いのお客様:
VML の無効化を実施してください。
———————————-
64 ビット (x64) 版の Windows 7 以降のオペレーティング システムをお使いのお客様:
Internet Explorer 10 以上を使用して拡張保護モードを有効にすることで、現在確認されている悪用を防ぐことを確認しています。可能な場合は、Internet Explorer 10 以上を使用し、拡張保護モードを有効にしてください。
Internet Explorer 8 または Internet Explorer 9 を引き続きお使いのお客様は、VML の無効化を実施してください。
64 ビット版の Windows 8/8.1 をお使いのお客様で、新しい UI (Windows ストア アプリ) の Internet Explorer 10 および Internet Explorer 11 をご利用いただく場合、拡張保護モード同等の機能により、攻撃が回避されることを確認しています。デスクトップ版の Internet Explorer 10/11 を利用する場合は、拡張保護モードを有効にしてください。
———————————-
Windows RT/RT 8.1 をお使いのお客様:
新しい UI (Windows ストア アプリ) の Internet Explorer 10 および Internet Explorer 11 をご利用いただく場合、拡張保護モード同等の機能により、攻撃が回避されることを確認しています。デスクトップ版の Internet Explorer 10/11 を利用する場合は、拡張保護モードを有効にしてください。
———————————-
企業のお客様
Windows Vista / Windows Server 2003 / Windows Server 2008 をお使いのお客様:
EMET の導入を実施することが最も効果が高い対策となります。すでに検証済み、または過去に導入したことがある場合などは、EMET の導入による回避を検討してください。
EMET の導入が難しい場合は、VML の無効化を実施してください。
———————————-
32 ビット版の Windows 7 以降のオペレーティング システムをお使いのお客様:
上記「Windows Vista / Windows Server 2003 / Windows Server 2008 をお使いのお客様」に記載の回避策を実施してください。
———————————-
64 ビット版の Windows 7 / Windows Server 2008 R2 以降のオペレーティング システムをお使いのお客様:
Internet Explorer 10 以上を使用して拡張保護モードを有効にすることで、現在確認されている悪用を防ぐことを確認しています。可能な場合は、Internet Explorer 10 以上を使用し、拡張保護モードを有効にしてください。
Internet Explorer 8 または 9 を引き続きお使いのお客様は、上記「Windows Vista / Windows Server 2003 / Windows Server 2008 をお使いのお客様」に記載の回避策を実施してください。
64 ビット版の Windows 8/8.1 をお使いのお客様で、新しい UI の Internet Explorer 10 および Internet Explorer 11 をご利用いただく場合、拡張保護モード同等の機能により、攻撃が回避されることを確認しています。デスクトップ版の Internet Explorer 10/11 を利用する場合は、拡張保護モードを有効にしてください。
———————————-
回避策: 拡張保護モードを有効にする
Windows RT/Windows RT 8.1 および、64 ビット版の Windows 7 / Windows Serve 2008 R2 以降のオペレーティング システム上の Internet Explorer 10 および Internet Explorer 11 では、拡張保護モードを有効にすることで、現在確認している攻撃を防ぐことができます。
設定方法
Internet Explorer を起動し、[ツール] ボタン (歯車マーク) から [インターネット オプション] を選択します。
[詳細設定] タブをクリックし、[設定] の [セキュリティ] セクションまでスクロールします。
Internet Explorer 10 の場合は、[拡張保護モードを有効にする] のチェックをオンにします。
Internet Explorer 11 の場合は、[拡張保護モードを有効にする] および [拡張保護モードで 64 ビット プロセッサを有効にする] (Windows 8 以降の x64 システムの場合) のチェックをオンにします。
[OK] をクリックして [インターネット オプション] を閉じます。
システムを再起動します。
———————————-
回避策: EMET を導入する
Enhanced Mitigation Experience Toolkit (EMET) はマイクロソフトが無償で提供している、セキュリティ脆弱性緩和ツールです。以下の構成で、現在確認されている悪用を防ぐことを確認しています。
EMET 4.0: すべての緩和策、および、deephooks/antidetour を有効化
EMET 4.1: すべての緩和策、および、deephooks/antidetour を有効化
EMET 5.0 Technical Preview: ASR および EAF+ を含むすべての緩和策、および deephooks/antidetour を有効化
注意 : EMET 3 は緩和策として有効ではありません。
注意 : EMET を導入する際には、十分検証を行ってください。EMET により Windows 自体が強化され、脆弱性の悪用を防ぐことができますが、一部のプログラム (特に古いプログラム) との互換性に問題を生じる場合があります。ツールとともにダウンロードされるユーザーズガイド等を参照のうえ、十分に検証を行ってください。なお、EMET は今回の脆弱性だけでなく過去の脆弱性や今後の新規の脆弱性に対しても効果が期待できますので、導入されていない場合は今後の導入もご検討ください。
補足:EMETの回避策の設定について
アドバイザリの回避策においては、EMET の既定の構成にて、攻撃の緩和が可能と示されています。
これに対して、ブログでは、既定の構成に加え、Deep Hook を有効にするようご案内しています。
これは、既定の設定で有効になっている Heapspray 緩和策によって最低限の攻撃は緩和できるためです。
しかしながら、Deep Hook を有効にすることで有効となる緩和策を有効にするほうが、より強固な緩和策となり、Heapspray の緩和策を迂回する攻撃を緩和する効果もあります。
このため、より強固な緩和策を備えるために、既定では有効ではないDeep Hookの設定を有効にしていただくことをブログ上では推奨しています。
設定方法
EMET は Enhanced Mitigation Experience Toolkit (EMET) からダウンロードできます。ダウンロード後は、ユーザーガイドに従って設定を行ってください。
*EMET 4.0 は Windows 8.1 および Windows Server 2012 R2 には対応していません。EMET 4.1/5.0 は現在サポートしているすべての OS で対応しています。
———————————-
回避策: Vector Markup Language (VML) を無効化する
ベクター画像の描画に利用される VML を無効化することで、現在確認されている悪用を防ぐことを確認しています。なお、本回避策を有効にした場合、アプリケーションやウェブサイトで VML を利用しているものは表示できない、などの影響が想定されますが、VML は Web では一般的なテクノロジーではなく通常の Web サイトで利用されていることが少ないこと、また Internet Explorer 9 以降には同様のベクター グラフィックを表示する Web 標準テクノロジーである SVG が搭載されているため、無効にした場合の直接的な影響は少ないと考えられます。
———————————-
VML無効化の手順
Windows 8、Windows 8.1 の場合:
Windows + X キーを押し、[コマンド プロンプト (管理者)] をクリックします。
入力するコマンドをコピーします。
32 ビット版 Windows の場合:
“%SystemRoot%\System32\regsvr32.exe” -u “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll”
64 ビット版 Windows の場合:
“%SystemRoot%\System32\regsvr32.exe” -u “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll”
“%SystemRoot%\System32\regsvr32.exe” -u “%CommonProgramFiles(x86)%\Microsoft Shared\VGX\vgx.dll”
[管理者: コマンド プロンプト] ダイアログボックスの左隅をクリックし、[編集] -[貼り付け] をクリックします。
ダイアログ ボックスが表示され、無効化が成功したことが表示されますので、[OK] をクリックしてダイアログ ボックスを閉じます。
Enter キーを押します。ダイアログ ボックスが表示され、無効化が成功したことが表示されますので、[OK] をクリックしてダイアログ ボックスを閉じます。
[管理者: コマンド プロンプト] の右隅にある [X] をクリックして、ダイアログボックスを閉じます。
設定を有効にするために、Internet Explorer を再起動します。
———————————-
VML 有効化の手順
VML を有効に戻したい場合は、以下の手順を実行します。
コマンド プロンプトを管理者権限で開きます。
以下を入力します。
32 ビット版 Windows の場合:
“%SystemRoot%\System32\regsvr32.exe” “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll”
64 ビット版 Windows の場合:
“%SystemRoot%\System32\regsvr32.exe” “%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll”
“%SystemRoot%\System32\regsvr32.exe” “%CommonProgramFiles(x86)%\Microsoft Shared\VGX\vgx.dll”
ダイアログ ボックスが表示され、登録が成功したことが表示されますので、[OK] をクリックしてダイアログ ボックスを閉じます。
設定を有効にするために、Internet Explorer を再起動します。