Windows 2000/XPにまたもや“超特大”級のセキュリティ・ホール，早急に対策を

FrontPage Server Extensions にも「緊急」のセキュリティ・ホール

勝村幸博

2003.11.12

　マイクロソフトは11月12日，Windows 2000およびXPに見つかったセキュリティ・ホールを公開した。ネットワークに接続しているだけで，悪質なプログラム（例えばウイルス）を送り込まれて実行させられる恐れがある，とても危険なセキュリティ・ホールである。パッチを適用するなどして，早急に対策を施す必要がある。パッチは「Windows Update」やセキュリティ情報のページから適用できる。

デフォルト有効のWorkstation サービスにセキュリティ・ホール

　Windows 2000およびXPが標準で備える「Workstationサービス」に，バッファ・オーバーフローのセキュリティ・ホールが見つかった。このため，細工が施されたデータを送信されると，任意のプログラムを実行させられる恐れがある。

　Workstationサービスは，ファイル共有やプリンタ共有などに利用されるサービスである。LAN環境では必要なサービスなので，デフォルト（初期設定）で稼働している。加えて，Workstation サービスが利用するポートはデフォルトで開かれている。このため，未対策のマシン（今回公開されたパッチを適用していない，あるいはパーソナル・ファイアウオールを利用していないマシンなど）は，ネットワークに接続するだけで，ウイルスなどを送り込まれて実行させられる恐れがある。

　「Blaster」が利用した「MS03-026」や，その後公開された「MS03-039」および「MS03-043」と同様に，とても危険なセキュリティ・ホールである。Windows 2000/XPのユーザーは早急に対策を施す必要がある。

　対策はパッチを適用すること。Windows Updateやセキュリティ情報のページから適用できる。なお，Windows XPに限り，今回のパッチは「MS03-043」のパッチに含まれている。このため，「MS03-043」のパッチを適用済みのXPユーザーは，今回公開された「MS03-049」のパッチを適用する必要はない。Windows 2000については，たとえ「MS03-043」のパッチを適用していても，今回公開されたパッチを適用する必要がある。パッチを適用できるのは，Windows 2000 SP2／SP3／SP4。

　パッチをすぐに適用できない環境では，パーソナル・ファイアウオールなどで特定のポートをふさげば，既知の攻撃を回避できる。マイクロソフトの情報によれば，UDP ポート 138／139／445 および TCP ポート 138／139／445 をふさげば，攻撃を回避できるという。これらのポートは，Windows XPが備えるICF（インターネット接続ファイアウォール）を有効にすればふさぐことができる（ICFの設定方法についてはマイクロソフトのセキュリティ情報を参照のこと）。今後も今回のようなセキュリティ・ホールが見つかる可能性は高いので，パッチを適用していても，上記のポートはふさいでおきたい。

　セキュリティ・ホールが見つかったWorkstation サービスを無効にすることも回避策となる。ただし，同サービスを無効にすると，ファイル共有やプリンタ共有が利用できなくなる。マイクロソフトは，スタンドアロンで使用しているマシンでのみ，Workstation サービスを無効にするよう勧めている。無効にする具体的な手順については，セキュリティ情報を参照してほしい。

FPSEにもセキュリティ・ホール

　同日，マイクロソフトはFrontPage Server Extensions（FPSE）2000／2002のセキュリティ・ホールも公開した。FPSEとは，Webサーバー（IISサーバー）の機能を拡張するためのサーバー・プログラムである。FPSEに含まれるダイナミック・リンク・ライブラリにバッファ・オーバーフローなどのセキュリティ・ホールが見つかった。

　このため，FPSE 2000／2002を稼働している場合には，細工が施されたデータを送信されると，任意のプログラムを実行させられたり，サーバーが提供するサービスを妨害されたりする可能性がある。

　対策はパッチを適用すること。Windows Updateやセキュリティ情報のページから適用できる。FPSEを無効にすることでも，影響を回避できる。マイクロソフトが提供する「IIS Lockdown Wizard ツール」を使用すれば，FPSEを無効にできる。

　深刻度が「緊急」の危険なセキュリティ・ホールである。FPSEを利用しているIISサーバーの管理者は，早急に対策を施す必要がある。また，利用しているつもりがなくても，FPSEが稼働していないかどうか確認したい。利用していないのに稼働している場合には，アンインストールあるいは無効にしておこう。

◎参考資料
◆Workstation サービスのバッファオーバーランにより、コードが実行される (828749) (MS03-049)
◆Microsoft FrontPage Server Extensions のバッファオーバーランにより，コードが実行される (813360) (MS03-051)
◆マイクロソフトセキュリティ情報 (MS03-051) ：よく寄せられる質問
◆2003 年 11 月のセキュリティ情報 (Windows)

（勝村　幸博＝IT Pro）

【11月12日訂正】初出時にBlasterが利用したセキュリティ・ホールを「MS03-029」と記載しましたが，「MS03-026」の誤りでした。お詫びして訂正いたします