マイクロソフトは3月27日,Windows NT 4.0/2000/XPにセキュリティ・ホールがあることを明らかにした。TCP/UDP ポート135番に細工が施されたデータを送信されると,RPCサービスおよびRPCサービスに依存するサービスが終了する恐れがある。対策は修正プログラム(パッチ)を適用することや,ファイアウオールなどでポート135番を遮断すること。今回のセキュリティ・ホールの深刻度は,上から2番目の「重要(Important)」。セキュリティ・ホールを悪用されても,任意のコードを実行されるようなことはない。
今回,Windows NT 4.0/2000/XPがデフォルトで備えている「RPC Endpoint Mapper」にセキュリティ・ホールが見つかった。RPC Endpoint Mapper とは,RPCクライアントが特定のRPC サービスに特定のポート番号を割り当てられるようにするサービスである。RPC Endpoint Mapperはポート135番でリクエストを待ち受ける。
Windows NT 4.0のRPC Endpoint Mapperには,以前にも同様のセキュリティ・ホールが見つかっている。その際にはパッチが公開されたものの,今回のセキュリティ・ホールに関しては,Windows NT 4.0用のパッチは公開されていない。マイクロソフトの情報によると,「Windows NT 4.0 のアーキテクチャ上の制限により,修正プログラム(パッチ)を提供することができない」という。
そのためWindows NT 4.0については,ファイアウオールなどでポート135番をふさいで,外部からの攻撃を回避するしかない。とはいえ,ポート135番をふさいでおくことは,セキュリティ上のセオリーである(関連記事)。今回のセキュリティ・ホール対策としてだけではなく,当然ふさいでおくべきポートである。なお,135番以外の「当然ふさいでおくべきポート」については,関連記事を参照してほしい。
Windows 2000/XPについてはパッチが公開されている。セキュリティ情報のページからダウンロードできるが,Windows Updateからも適用できる。
◎参考資料
◆「MS03-010: RPC エンドポイント マッパーの問題により,サービス拒否の攻撃が実行される (331953)」に関する要約情報
◆MS03-010: Flaw in RPC Endpoint Mapper Could Allow Denial of Service Attacks (331953)
◆RPC エンドポイント マッパーの問題により,サービス拒否の攻撃が実行される (331953) (MS03-010)
(勝村 幸博=IT Pro)
