インターネットのセキュリティ組織である米US-CERTは米国時間10月13日,10月12日に公表されたWindowsのセキュリティ・ホールを突くプログラム(Exploit)が報告されているとして注意を呼びかけた。この報告についてUS-CERTでは「未確認(unconfirmed)」としているが,実際に出現している可能性は高い。また,これ以外にも,セキュリティ・ホールを突くプログラムは複数出回っている。修正パッチを適用していないユーザーは早急に適用したい。
US-CERTが報告を受けたとするプログラムは,「MSDTC および COM+ の脆弱性により、リモートでコードが実行される (902400) (MS05-051)」に含まれる「MSDTCの脆弱性」を突く(関連記事)。
MSDTC(Microsoft Distributed Transaction Coordinator)とはWindowsプラットフォームにおいて分散トランザクションを実行するための機能(サービス)。セキュリティ・ホールが存在するMSDTCに対して細工が施されたデータを送信されるとバッファ・オーバーフローが発生して,データに含まれる任意のプログラムを実行させられる可能性がある。
「MSDTCの脆弱性」の影響を受けるのは,Windows 2000/XP/Server 2003。ただし,匿名ユーザーにリモートから任意のプログラムを実行させる恐れがあるのはWindows 2000のみ。Windows XP SP1およびWindows Server 2003においては,ログオン資格を持つユーザーがローカルから悪用できるだけである。この場合には,ユーザー権限の昇格を許す可能性がある。Windows XP SP2とWindows Server 2003 SPについては,このセキュリティ・ホールの影響を受けない。
US-CERTでは,MSDTCがリクエストを待ち受けるTCPポート3372番へのスキャンが増えていることを確認している。これは,MSDTCへの攻撃の予兆である可能性がある。
また,「MS05-051」以外のセキュリティ・ホールを突くプログラムも出現している。編集部では,(1)「Windows FTP クライアントの脆弱性により,ファイルの転送場所が改ざんされる (905495) (MS05-044)」,(2)「ネットワーク接続マネージャの脆弱性により,サービス拒否が起こる (905414) (MS05-045)」,(3)「Microsoft Collaboration Data Objects の脆弱性により,リモートでコードが実行される (907245) (MS05-048)」---それぞれを悪用するプログラムを確認している。
(1)の最大深刻度は「重要」,(2)と(3)は「警告」に設定されている。このためこれらを突くプログラムは,US-CERTが報告を受けたするプログラムほどは危険ではない。とはいえ油断はできない。深刻度が「緊急」のセキュリティ・ホール同様,きちんと対策を施しておきたい。
◎参考資料
◆Exploit available for Microsoft Distributed Transaction Coordinator Buffer Overflow Vulnerability(US-CERT Current Activity)
