今月Microsoftよりリリースされたパッチは、緊急9件、重要3件の合計12件です。
・Server サービスの脆弱性により、リモートでコードが実行される (921883) (MS06-040)
・DNS 解決の脆弱性により、リモートでコードが実行される (920683) (MS06-041)
・Internet Explorer 用の累積的なセキュリティ更新プログラム (918899) (MS06-042)
・Microsoft Windows の脆弱性により、リモートでコードが実行される (920214) (MS06-043)
・Microsoft 管理コンソール (MMC) の脆弱性により、リモートでコードが実行される (917008) (MS06-044)
・Windows エクスプローラ の脆弱性により、リモートでコードが実行される (921398) (MS06-045)
・HTML ヘルプの脆弱性により、リモートでコードが実行される (922616) (MS06-046)
・Microsoft Visual Basic for Applications (VBA) の脆弱性により、リモートでコードが実行される ・(921645) (MS06-047)
・Microsoft Office の脆弱性により、リモートでコードが実行される (922968) (MS06-048)
・Windows カーネルの脆弱性により、特権が昇格される (920958) (MS06-049)
・Microsoft Windows ハイパーリンク オブジェクト ライブラリの脆弱性により、リモートでコードが実行される (920670) (MS06-050)
・Windows カーネルの脆弱性により、リモートでコードが実行される (917422) (MS06-051)
この中で「MS06-040」は、リモートから能動的に攻撃可能なバッファ・オーバーフロー脆弱性です。脆弱性の分類的には、MS Blasterワームに悪用された「MS03-026」や、Sasserワームに悪用された「MS04-011」と同じタイプのものです。
ServerサービスはWindowsのサービスとして動作しており、ネットワーク経由でのファイル、印刷、名前付きパイプ共有をサポートします。サービス・マネージャからServerサービスを無効化・有効化したり、その概要を確認したりすることができます。デフォルトで有効になっていますが、このサービスが停止した場合、ネットワーク経由でこれらの機能すべてが利用できなくなります。また、使用不可にされた場合は、このサービスに明示的に依存するすべてのサービスが起動できなくなります。このため、多くの状況でServerサービスは必要不可欠なサービスであるといえます。
脆弱性の詳細は明らかにされていませんが、現在、eEyeリサーチ・チームではパッチ差分解析を行い、脅威分析とリモート・チェック・エンジンの開発を進めています。攻撃者は、リモート・ホストのTCPポート139および445に接続し、SRVSVC名前付きパイプ経由にて本脆弱性を攻略することができます。脆弱性は、SRVSVC.DLL経由で呼ばれる、NETAPI32.DLLに実装されたある関数に存在しており、典型的なバッファオーバーフロー・バグです。
Windows 2000では攻略可能であり、非常に危険な脆弱性であることが確認されました。他のプラットフォームについては確認中ですが、パッチ、ポート・フィルタリングあるいはIDPの利用など、何らかの方法でいち早く対処すべきです。
