マイクロソフトは9月11日,Windows に見つかった新しいセキュリティ・ホールを公開した。細工が施されたRPC(Remote Procedure Call)メッセージを送信されると,任意のプログラムやコマンドを実行させられる恐れがある。「Blaster」ワームなどが悪用するセキュリティ・ホールと同様に,とても危険なセキュリティ・ホールである。「Windows Update」を実施して,すぐにパッチを適用する必要がある。影響を受けるのは,Windows NT Workstation 4.0/NT Server 4.0/NT Server 4.0, Terminal Server EditionおよびWindows 2000/XP/Server 2003。いずれも,デフォルトのままで影響を受ける。
今回マイクロソフトが公開したのは,Blasterなどが悪用するセキュリティ・ホールと同じように,RPCの実装に関する3種類のセキュリティ・ホールである。RPCとは,同じマシンあるいは別のマシンで稼働するプログラム同士が通信するために使用するプロトコルである。
今回公開された3種類のセキュリティ・ホールのうち2種類は,細工が施されたRPCメッセージを送信されると,適切に処理できずにバッファ・オーバーフローが発生するセキュリティ・ホールである。その結果,マシン上で任意のコード(プログラムやコマンド)を実行させられる恐れがある。コードはLocal System権限(OSと同じ権限)と呼ばれる高い権限で実行されるので,攻撃者は対象マシンを自在に操れる。マシン内のファイルを盗めるばかりではなく,ファイルの改変やハード・ディスクのフォーマット,管理者権限を持つアカウントの作成など,あらゆる操作が可能となり,事実上マシンを乗っ取られることになる。
もう1種類は,DoS(サービス妨害)攻撃を受けるセキュリティ・ホールである。細工が施されたRPCメッセージを送信されると,RPCサービスを終了させられる恐れがある。
バッファ・オーバーフローのセキュリティ・ホールは,Windows NT Workstation 4.0/NT Server 4.0/NT Server 4.0, Terminal Server EditionおよびWindows 2000/XP/Server 2003に存在し,深刻度は最悪の「緊急」である。DoS攻撃を受けるセキュリティ・ホールは,Windows 2000にのみ存在し,深刻度は上から2番目の「重要」。
とにかく,とても危険なセキュリティ・ホールである。今すぐに対策を施す必要がある。対策はパッチを適用すること。Windows NT Server 4.0, Terminal Server Edition用以外は,「Windows Update」から適用可能なので,今すぐWindows Updateを実施してほしい。セキュリティ情報のページからもパッチをダウンロードできる。
パッチは,Windows NT については,NT Workstation 4.0 SP6a/NT Server 4.0 SP6a/NT Server 4.0 Terminal Server Edition SP6の環境に適用できる。また,Windows 2000 SP2/SP3/SP4,Windows XP/XP SP1,Windows Server 2003の環境に適用可能である。
今回公開されたパッチには,Blasterなどが悪用するセキュリティ・ホール「MS03-026」および過去に公開された「MS01-048」のパッチが含まれる。
すぐにパッチを適用できない環境では,「DCOMを無効にする」「(パーソナル)ファイアウオールで,UDP ポート135/137/138/445番および TCPポート 135/139/445/593番をブロックする」――といった回避策が存在するが,できるだけパッチを適用して対策を施すべきだ(回避策の詳細については,米Microsoftが公開する「Security Bulletin」や,マイクロソフトが公開する「よく寄せられる質問」を参照のこと)。
なお,DCOMを無効にして回避する場合には,Windows 2000のSP2以前では無効にできないので,SP3以上にアップグレードする必要がある。
企業(組織)では,適切に設定されたファイアウオールが設置されていれば,外部からの攻撃は防げるものの,LAN内部からの攻撃は防げない。サーバーやクライアントの区別なく,すべてのWindowsマシンにパッチを適用して,対策を施しておく必要がある。
繰り返しになるが,今回公開されたセキュリティ・ホールはとても危険である。米Microsoftの情報によると,同社では今回のセキュリティ・ホールを重く見て,本来はサポート対象外であるWindows NT 4.0 WorkstationとWindows 2000 SP2のパッチを公開したとしている。これは,「Blaster」ワームが悪用するセキュリティ・ホール「MS03-026」と同じ対応である(関連記事)。
さらに,米Microsoftの「TechNet」ページなどでは,「Action: Install New Security Patch Immediately」と目立つ形で記載して注意を呼びかけている。
今回のセキュリティ・ホールを悪用するツールやワームが出現するのは時間の問題だと考えて,早急に対策を施すべきだ。
◎参考資料
◆「MS03-039:RPCSS サービスのバッファ オーバーランによりコードが実行される (824146)」に関する要約情報(マイクロソフト)
◆「MS03-039:Buffer Overrun In RPCSS Service Could Allow Code Execution (824146)」(米Microsoft)
◆絵でみるセキュリティ情報「MS03-039 : Windows の重要な更新」(マイクロソフト)
◆「Microsoft RPC Heap Corruption Vulnerability - Part II」(米eEye Digital Security)
◆「CERT Advisory CA-2003-23 RPCSS Vulnerabilities in Microsoft Windows」(米CERT/CC)
◆「RPCSS サービスのバッファ オーバーランによりコードが実行される (824146) (MS03-039)」(マイクロソフト)
◆「マイクロソフト セキュリティ情報 (MS03-039) :よく寄せられる質問」(マイクロソフト)
(勝村 幸博=IT Pro)