「すべてのWindows 2000システムでパッチを適用すべき」――。3月25日,セキュリティ・ベンダーであるラックは,3月18日に公表されたWindows 2000のセキュリティ・ホールの危険性を改めて呼びかけた関連記事)。IIS(Internet Information Services)5.0を経由した攻撃が強調されているが,IISを稼働していないシステムでも攻撃を受ける可能性があるという。すべてのWindows 2000ユーザーがパッチを適用する必要がある。

 ラックの情報によると,IISを経由しない攻撃が可能であることを報告したのは,NGSSoftware の David Litchfield氏。NGSSoftwareのサイトには同氏のレポートが公開されている(PDFファイル)。同レポートの邦訳版へのリンクは,ラックが公開するページに記載されている。

 同氏のレポートによると,NGSSoftwareの研究者は,IIS経由――すなわち,HTTP―以外の攻撃方法を数々発見しており,数週間以内に明らかになるという。加えてレポートには,IISを稼働させていなくても,FTPサーバーやIMAPサーバー,Windowsに含まれる他のサービスなどを利用して,攻撃者はぜい弱なWindows 2000システムにアクセスできると書かれている。

 IISを稼働していない場合でも,IISからWebDAVサービスを利用できないようにしている場合でも攻撃を受ける可能性がある。HTTP以外の攻撃方法が広まる前に,すべてのWindows 2000ユーザーは,マイクロソフトが公開するパッチを適用して対策を施しておく必要がある。「Windows Update」からも適用できる。

 マイクロソフトが公開する「よく寄せられる質問」にも,「IIS 5.0 を無効にしても,あるいは設定を変更しても,セキュリティ・ホールは依然として存在するので,すべてのWindows 2000ユーザーがパッチを適用してください」といった内容が記述されている(3月24日22時現在)。

 なお,3月18日に公表されたセキュリティ・ホールの詳細や危険性については,最新の「今週のSecurity Check [Windows編]」に詳しいので,ぜひ参照してほしい。IIS経由以外の攻撃方法が可能であるといっても,現状ではIIS経由の攻撃が最大の脅威であることには間違いない。

【4月24日追記】マイクロソフトは4月24日,Windows NT 4.0およびNT 4.0 Terminal Server Editionにも同様のセキュリティ・ホールがあることを明らかにし,それらに適用できるパッチを公開した。ただし,NTはWebDAVをサポートしていないので,IIS経由で攻撃を受ける恐れはない。そのため,NTについては,深刻度は上から2番目の「重要」に設定されている。とはいえ,IIS(WebDAV)経由以外でも今回のセキュリティ・ホールを悪用することは可能なので,NTユーザーはパッチを適用しておきたい。【以上,4月24日追記】

◎参考資料
SNS Spiffy Reviews No.5「Successful Reproduction of MS03-007 "Unchecked Buffer In Windows Component Could Cause Web Server Compromise"」(ラック)
New attack vectors and a vulnerability dissection of MS03-007(NGSSoftware,PDFファイル)
Windows コンポーネントの未チェックのバッファによりWeb サーバーが侵害される (MS03-007)
「マイクロソフト セキュリティ情報 (MS03-007) : よく寄せられる質問」

(勝村 幸博=IT Pro)