2014年11月修正されたWindowsの脆弱性 ― XPでできる対策

最終更新日

XPなどの修正パッチをインストールできない環境のWindows PC向けの記事です。
最も効果的な対策は、あくまでVistaWindows 7以降を使用し、セキュリティ更新プログラムをインストールすることです。
(Vistaのサポート期間も終了しました)

2014年11月のセキュリティ更新プログラムを適用しない場合の対策

いろいろあって12月になってしまいましたが、自分のメモとしても書いておきます。

2014年11月のマイクロソフトセキュリティ情報の概要
https://technet.microsoft.com/ja-jp/library/security/ms14-nov.aspx

緩和・回避策がないものが多くありました。緩和策がある場合はだいたい以下のものでした。大半は基本的なことです。

  • 不明な、信頼できないところのファイルは開かない。
  • 不用意に電子メールやインスタントメッセンジャーのメッセージのリンクをクリックしない。添付ファイルを開かない。
  • 保護ビュー機能のあるOffice製品は保護ビューを有効(デフォルト)にしておく。
  • HTML形式の電子メール メッセージを制限付きサイト ゾーンで開く。ただし、メール内の悪意のあるサイトへのリンクをクリックしてしまうとダメ。もっといえば、HTML形式のメールを開かないこと。
  • リモート機能を無効にする。
  • 普段は管理者権限がない、ユーザー権限が低い設定のアカウントを使用する。
  • 別の脆弱性と組み合わせることで実行されるものがあるため、他の脆弱性への対策をしておく。

上記以外で、回避策としてXPで使えそうなものを書き出してみました。

  1. MSXML リモートでコードが実行される脆弱性 CVE-2014-4118

    マイクロソフトセキュリティ情報 MS14-067 (2993958)
    https://technet.microsoft.com/library/security/ms14-067

  2. Microsoft IME(日本語版) 特権の昇格の脆弱性 CVE-2014-4077

    マイクロソフトセキュリティ情報 MS14-078 (2992719)
    https://technet.microsoft.com/library/security/MS14-078

  3. Windows カーネルモードドライバーのサービス拒否の脆弱性 CVE-2014-6317

    マイクロソフトセキュリティ情報 MS14-079 (3002885)
    https://technet.microsoft.com/ja-JP/library/security/ms14-079

  4. Windows OLE リモート コード実行の脆弱性 CVE-2014-6352

    マイクロソフト セキュリティ情報 MS14-064 (3006226と3010788)
    https://technet.microsoft.com/library/security/ms14-064
    の内の3010788

MSXML リモートでコードが実行される脆弱性 CVE-2014-4118

回避策

※ XMLHTTP3.0 ActiveXコントロールが使用されているWebサイトは、Internet Explorerで正しく表示されなくなる場合がある。

  1. 次のテキストをメモ帳に貼り付ける。

    • (32bit Windowsの場合)

      Windows Registry Editor Version 5.00
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{f5078f39-c551-11d3-89b9-0000f81fe221}]
      "Compatibility Flags"=dword:04000400

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{f6d90f16-9c73-11d3-b32e-00c04f990bb4}]
      "Compatibility Flags"=dword:04000400

    • (64bit Windowsの場合)

      Windows Registry Editor Version 5.00
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{f5078f39-c551-11d3-89b9-0000f81fe221}]
      "Compatibility Flags"=dword:04000400

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{f6d90f16-9c73-11d3-b32e-00c04f990bb4}]
      "Compatibility Flags"=dword:04000400

      [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{f5078f39-c551-11d3-89b9-0000f81fe221}]
      "Compatibility Flags"=dword:04000400

      [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{f6d90f16-9c73-11d3-b32e-00c04f990bb4}]
      "Compatibility Flags"=dword:04000400

  2. メニューのファイル→名前をつけて保存。拡張子は.regにする。
    例) test1.reg
  3. 保存したregファイルをダブルクリックして実行する。
  4. Internet Explorerを再起動する。

以上の作業は、レジストリにKillbitの設定を追加するものです。

Microsoftの説明ページはこちら
https://support.microsoft.com/en-us/help/240797/how-to-stop-an-activex-control-from-running-in-internet-explorer

Killbitについては下のサイトの解説がわかりやすいです。
http://www.hotfix.jp/archives/word/2005/word05-24.html

※ 0x00000400と0x04000400の違いについて。
(先頭の0xは16進数であること表します)
どちらでも有効らしい。指示された方で設定すればいいと思います。

回避策の解除

  1. 次のテキストをメモ帳に貼り付ける。

    • (32bit Windowsの場合)

      Windows Registry Editor Version 5.00
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{f5078f39-c551-11d3-89b9-0000f81fe221}]

      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{f6d90f16-9c73-11d3-b32e-00c04f990bb4}]

    • (64bit Windowsの場合)

      Windows Registry Editor Version 5.00
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{f5078f39-c551-11d3-89b9-0000f81fe221}]

      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{f6d90f16-9c73-11d3-b32e-00c04f990bb4}]

      [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{f5078f39-c551-11d3-89b9-0000f81fe221}]

      [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{f6d90f16-9c73-11d3-b32e-00c04f990bb4}]

  2. メニューのファイル→名前をつけて保存。拡張子は.regにする。
    例) test2.reg
  3. 保存したregファイルをダブルクリックして実行する。
  4. Internet Explorerを再起動する。

Microsoft IME(日本語版) 特権の昇格の脆弱性 CVE-2014-4077

緩和策

Microsoft IME(日本語版)を使わず、他のIMEを利用する。

とりあえずおすすめなのが次の2つ。

  • Google 日本語入力(無料)
    https://www.google.co.jp/ime/
  • ATOK(有料)
    http://www.atok.com/

    ATOK選び方ガイド
    http://www.atok.com/products/guide.html

    30日間お試し
    http://www.atok.com/try/index.html

回避策

(Microsoft IME(日本語版)を使い続ける場合に)

EMET 5.0以上を使用し、次の設定をする。

[注意]

EMET5.0以上はXPをサポートしていません。動作保証外です。

MET4.1以前には、ASRがありません。

  1. EMETのGUI画面を表示。(EMET_GUI.exeを起動)
  2. 上のAppsアイコンをクリックするか、Ctrl+Shift+Aを押して、Application Configurationを表示。
  3. 上のAdd Wildcardをクリック。
  4. *\IMJPDCT.EXE と入力→OK
  5. App Nameの欄のIMJPDCT.EXEを選択して右クリック→Disable All Matigationsを選択→右側のすべてのチェックが外れる。

    一番右のASRだけチェックを入れる。

  6. IMJPDCT.EXEをダブルクリックするか、IMJPDCT.EXEをクリック→Show All Settingsをクリック。

    画面右側の部分で一番下までスクロール。

    Attack Surface ReductionのModules欄に IMJP*.DIC と入力し、右下のOKをクリック。

回避策の解除

IMJPDCT.EXEを選択した状態で、Remove Selected(画面上の赤い×印)をクリックする。

Windows カーネルモードドライバーのサービス拒否の脆弱性 CVE-2014-6317

回避策

T2EMBED.DLLファイルへのアクセスを許可しない設定にする。

[注意]

埋め込みのフォントに技術的に依存しているアプリケーションは、正しく表示されなくなる場合があります。

XPでファイルのプロパティにセキュリティタブを表示するには。

XP Home Edition:セーフモードで起動し、ユーザーアカウント選択画面でAdministratorを選んでログオンする。

XP Professional:フォルダーオプション→表示タブ→簡易ファイルの共有を使用する(推奨) チェックを外す。

  1. C:\Windows\System32\t2embed.dllを右クリック→プロパティ→セキュリティタブ
  2. 「グループ名またはユーザー名」のところで追加ボタンをクリック
  3. everyoneと入力→名前の確認ボタンをクリック→OK
  4. Everyoneを選択した状態で、フルコントロールの拒否にチェックを入れる。
  5. 64bit版の場合は、C\Windows\Syswow64\t2embed.dllも同様に行う。

回避策の解除

C:\Windows\System32\t2embed.dll と C\Windows\Syswow64\t2embed.dll(64bit版のみ)のプロパティ→セキュリティタブ→Everyoneを削除する。

以前、TakeownとIcaclsコマンドを利用した方法を載せましたが、XPでは両コマンドが使用できませんでした。申し訳ありません。XP Homeで確認の上、書き直しました。(2015/05/28)

Windows OLE リモート コード実行の脆弱性 CVE-2014-6352

[回避策]

EMET 5.0以上を使用し、次の設定をする。

[注意]

EMET5.0以上はXPをサポートしていません。動作保証外です。

EMET4.1以前には、ASRがありません。

  1. EMETのGUI画面を表示。(EMET_GUI.exeを起動)
  2. 上のAppsアイコンをクリックするか、Ctrl+Shift+Aを押して、Application Configurationを表示。
  3. 上のAdd Wildcardをクリック。
  4. *\dllhost.exe と入力→OK
  5. App Nameの欄のdllhost.exeを選択して右クリック→Disable All Matigationsを選択→右側のすべてのチェックが外れる。

    一番右のASRだけチェックを入れる。

  6. dllhost.exeをダブルクリックするか、dllhost.exeをシングルクリック→Show All Settingsをクリック。

    画面右側の部分で一番下までスクロール。

    Attack Surface ReductionのModules欄に packager.dll と入力し、右下のOKをクリック。

  7. 続いて、上のAppsアイコンをクリックするか、Ctrl+Shift+Aを押して、Application Configurationを表示。
  8. 上のAdd Wildcardをクリック。
  9. *\OFFICE1*\POWERPNT.EXE と入力→OK
  10. App Nameの欄のPOWERPNT.EXEを選択して、EAF+のところだけチェックを外す。他はすべてチェックを入れておく。
  11. POWERPNT.EXEをダブルクリックするか、POWERPNT.EXEをシングルクリック→Show All Settingsをクリック。

    画面右側の部分で一番下までスクロール。

    Attack Surface ReductionのModules欄に flash*.ocx;packager.dll と入力し、右下のOKをクリック。

回避策の解除

  1. dllhost.exeを選択した状態でRemove Selected(画面上の赤い×印)をクリックする
  2. POWERPNT.EXEをダブルクリック
    →Attack Surface ReductionのModules欄に flash*.ocx と入力し、右下のOKをクリック。
関連記事