Threatpost - The First Stop For Security News

Threatpostに掲載された記事「Shellshock-like Weakness May Affect Windows|threatpost」が、Windows Serverを含むWindowsシステムにbashのセキュリティ脆弱性(通称Shellshock)と類似した環境変数を利用したリモートからのコード実行が実施できるというセキュリティ脆弱性が存在すると伝えた。

ベルギーのセキュリティ関連企業The Security Factoryの報告書「COMMAND-INJECTION VULNERABILITY FOR COMMAND-SHELL SCRIPTS」に、その詳細が記載されている。Windowsには、環境変数にコマンド区切りの文字を含めた場合、環境変数を表示させた際にコマンド区切り以降の文字列をコマンドと解釈し実行するという仕組みがある。この仕組みを悪用することで攻撃が可能だという。

具体的には、カレントディレクトリを保持する%CD%という環境変数を利用し、Windows Serverで毎日処理させるようなバッチファイルを組み合わせた場合、任意のコマンドをファイルサーバなどのWindows Serverで容易に実行できると説明している。例えば、攻撃者が任意のコマンドを含む名前のディレクトリ(フォルダ)をファイルサーバに作成した場合、すべてのディレクトリ一覧を作成してバックアップを取るといったバッチファイルにおいて任意のコマンドが実行されることになる。

The Security Factoryの説明によれば、Microsoftはこの挙動について「バッチファイルを実行した結果であって、セキュリティ脆弱性とは認識していない」と説明しているという。ファイルサーバなどの用途でWindows Serverを運用し、さらにサードパーティ製のバッチファイルを使用している場合には注意が必要だ。