米Microsoftは現地時間11月16日,日本時間11月15日に公表したWindowsのセキュリティ・ホール(脆弱性)を突くプログラム(実証コード:PoC)が確認されたとして注意を呼びかけた。この実証コードを悪用されると,Windows 2000の場合にはインターネットに接続しているだけで,ボットなどの悪質なプログラムを実行される恐れがある。修正パッチ未適用のユーザーはすぐに適用したい。
実証コードが確認されているのは,「Workstationサービスの脆弱性により,リモートでコードが実行される (924270) (MS06-070)」。これは,Windowsに含まれるWorkstationサービスのセキュリティ・ホール(関連記事:マイクロソフトが月例パッチを公開)。同サービスにはバッファ・オーバーフローのセキュリティ・ホールが存在するため,細工が施されたデータを送信されるだけで,任意のプログラムを実行される恐れがある。このとき,プログラムはSYSTEM権限で実行される。
影響を受けるのはWindows 2000とXP。ただし,匿名ユーザー(アクセス権限を持たないユーザー)からの攻撃を許すのはWindows 2000のみ。Windows XPについては,管理者権限を持つユーザーだけが悪用可能であるという。このためセキュリティ・ホールの深刻度は,Windows 2000については最悪の「緊急」だが,Windows XPについては4段階評価で一番下の「注意」に設定されている。
現在インターネットで公開されている実証コードは,Windows 2000を対象としたもの。実証コードを使用されると,インターネット経由で,未パッチのWindows 2000上で任意のプログラムを実行される恐れがある。
Microsoftによれば,現時点では実証コードを悪用した攻撃を確認していないという。しかしながら,今後悪用される可能性は高い。実証コードを悪用すれば,自動的に感染を広げるワーム(インターネット・ワーム)を作成することも可能であると考えられる。
実証コードが確認されている「MS06-070」以外にも,11月15日には危険なセキュリティ・ホールが複数公表されている。これらのパッチのいずれについても,適用によるトラブルは現時点では報告されていない。Windowsユーザーはできるだけ早急にすべてのパッチを適用したい。
パッチをすぐに適用できない環境では,回避策を実施する。回避策の具体的な手順については,マイクロソフトが公開するセキュリティ情報を参照してほしい。
