マイクロソフトは7月17日,Windowsに見つかった深刻なセキュリティ・ホールを公開した。影響を受けるのは,Windows NT Server 4.0/NT Server 4.0 TSE(Terminal Server Edition)/2000/XP/Server 2003。細工が施されたRPC(Remote Procedure Call)メッセージを送信されると,任意のプログラムやコマンドを実行させられる恐れがある。対策は「Windows Update」などからパッチを適用すること。深刻度は最悪の「緊急」なので,早急に対応する必要がある。
加えて,Windows XPには別のセキュリティ・ホールも見つかっている。ISA Serverのセキュリティ・ホールも公開されているので,これらについても対応する必要がある。
NT/2000/XP/Server 2003のRPCの実装にホール
Windows NT/2000/XP/Server 2003 に見つかったのは,RPCの実装に関するセキュリティ・ホールである。RPCとは,同じマシンあるいは別のマシンで稼働するプログラム同士が通信するために使用するプロトコル。細工が施されたRPCメッセージをTCPポート135番に送信されると,適切に処理できずにバッファ・オーバーフローが発生する。
その結果,マシン上で任意のコード(プログラムやコマンド)を実行させられる恐れがある。コードはLocal System権限(OSと同じ権限)と呼ばれる高い権限で実行されるので,攻撃者は対象マシンを自在に操れる。マシン内のファイルを盗めるばかりではなく,ファイルの改変やハード・ディスクのフォーマット,管理者権限を持つアカウントの作成など,あらゆる操作が可能となり,事実上マシンを乗っ取られることになる。
TCPポート135番に直接RPCメッセージを送る以外の攻撃方法も考えられる。米Microsoftの情報によれば,攻撃対象のマシンに直接ログオンしたり,RPCを使用するアプリケーションを利用したりすることでも,今回のセキュリティ・ホールを悪用できるという。
対策はパッチを適用すること。セキュリティ情報のページや「Windows Update」から適用できる。パッチはそれぞれ,Windows NT Server 4.0 Service Pack(SP)6a/NT Server 4.0 TSE SP6/2000 SP3またはSP4/XPまたはXP SP1/Server 2003――の環境に適用できる。深刻なセキュリティ・ホールなので,早急に対応する必要がある。パッチはアンインストール可能である。
なお,LANのファイアウオールなどでポート135番を遮断していれば,外部から攻撃されることはない。ポート135番をはじめとする不要なポートがきちんと遮断されているかどうか,管理者は改めて確認したい(関連記事)。ただし,LAN内部からの攻撃は当然防げないので,ポート135番が遮断されていても,パッチを適用する必要はある。
また,Windows XPやWindows Server 2003では,「Dcomcnfg.exe」を使ってDCOMを無効にすることで攻撃を回避できる。具体的な方法は米Microsoftの情報に詳しい。ただしDCOMを無効にすると,今まで動作していたアプリケーションが動作しなくなる可能性がある。あくまでも,パッチを適用するまでの回避策と考えたい。
なお,このセキュリティ・ホールの影響を受けるWindows OSとして,米Microsoftの情報には「Microsoft Windows NT 4.0 」と記述されているが,マイクロソフトの要約情報には,「Windows NT Server 4.0 」と記述されている。マイクロソフトに問い合わせたところ,Windows NT Workstation 4.0は6月30日でサポートが終了しているので,テストされておらず,影響を受けるかどうか分からないという。このためマイクロソフトでは,「Windows NT 4.0」とせずに,「Windows NT Server 4.0」と記述した。
また,米Microsoftの情報には,Windows Meは影響を受けないと記述されているが,Windows 98については言及されていない。マイクロソフトに問い合わせたところ,Windows 98も影響を受けないという。明記しなかった理由は,Windows 98用パッチは,7月1日以降今までのように公開されないためである。セキュリティ・パッチは2004年1月16日まで無償で提供されるが,問い合わせたユーザーだけが対象となる。今までのようにセキュリティ情報で公開されることはない。
Windows XP SP1には別のセキュリティ・ホールも
同日,マイクロソフトは,SP1を適用したWindows XPだけが影響を受けるセキュリティ・ホールも公開した。SP1を適用していないWindows XPは影響を受けない。Windows XPに含まれるWindowsシェルが備える,ファイルやフォルダの属性を表示する機能にバッファ・オーバーフローのセキュリティ・ホールが見つかった。このため,属性を表示する際に読み込む「Desktop.ini」に細工を施されると,任意のコードを実行させられる恐れがある。
具体的には,細工が施されたDesktop.iniが置かれたネットワーク共有フォルダを開くと,そのDesktop.iniに仕込まれたコードを実行させられることになる。コードはそのユーザーの権限で実行される。
任意のコードを実行させられる深刻なセキュリティ・ホールではあるが,攻撃するには,対象ユーザーがアクセスするネットワーク共有フォルダに“罠”を仕掛けなければならない。パケットやメールなどを送って直接攻撃することはできない。このため,セキュリティ・ホールの深刻度は,上から2番目の「重要」に設定されている。
対策はパッチを適用すること。セキュリティ情報のページや「Windows Update」から適用できる。パッチはアンインストール可能。
米Microsoftの情報では,もし怪しいDesktop.iniをダウンロードしてしまった場合には,Explorerなどで消そうとしないよう注意を呼びかけている。消そうとしてフォルダにアクセスすると,Desktop.iniが自動的に読み込まれてしまうので,もしそのDesktop.iniに細工が施されていると被害を受けてしまう。ダウンロードした場合には,同情報に書かれているように,コマンド・プロンプトから「del」コマンドで削除する必要がある。
ISA Serverにクロスサイト・スクリプティングのホール
同社のプロキシ・サーバー(ファイアウオール/キャッシュ・サーバー)製品「Internet Security and Acceleration(ISA)Server 2000」にはクロスサイト・スクリプティングのセキュリティ・ホールが見つかった。ISA Serverに含まれるエラー・ページの多くにクロスサイト・スクリプティングのセキュリティ・ホールが存在する。ISA Serverへのリクエストとして送られるURL中にスクリプトが含まれていても,それをチェックせずに,そのままエラー・ページ中に埋め込んで表示してしまう。
このセキュリティ・ホールを悪用されると,Webページやメールなどに含まれる,細工が施されたリンクをユーザーがクリックすることで,そのユーザーが信頼するサイトのセキュリティ設定でスクリプトを送り込まれて実行させられたり,Cookieを奪われたりしてしまう(クロスサイト・スクリプティングについては,関連記事1や関連記事2に詳しい)。
セキュリティ・ホールの深刻度は上から2番目の「重要」である。管理者はパッチを適用して対応する必要がある。パッチはセキュリティ情報のページからダウンロードできる。パッチはアンインストール可能である。
◎参考資料
◆MS03-026 Buffer Overrun In RPC Interface Could Allow Code Execution(823980)
◆「MS03-026: RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980)」に関する要約情報
◆MS03-026 : Windows の重要な更新
◆RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980) (MS03-026)
◆MS03-027 Unchecked Buffer in Windows Shell Could Enable System Compromise (821557)
◆「MS03-027: Windows シェルの未チェックのバッファによりシステムが侵害される (821557)」に関する要約情報
◆MS03-027 : Windows XP の重要な更新
◆Windows シェルの未チェックのバッファによりシステムが侵害される (821557) (MS03-027)
◆MS03-028 Flaw in ISA Server Error Pages Could Allow Cross-Site Scripting Attack (816456)
◆「MS03-028: ISA Server のエラー ページの問題により,クロスサイト スクリプティング攻撃が実行される (816456)」に関する要約情報
◆MS03-028 : ISA Server の重要な更新
◆ISA Server のエラー ページの問題により,クロスサイト スクリプティング攻撃が実行される (816456) (MS03-028)
(勝村 幸博=IT Pro)
