マイクロソフトは2月11日,Windows NT 4.0/2000/XP/Server 2003に見つかった危険なセキュリティ・ホールを公開した。悪用されると,マシン上で任意のプログラムを実行させられる恐れがある。プログラムは管理者(Administrator)権限と同等の「SYSTEM」権限で実行されるので,マシンを乗っ取られる可能性がある。深刻度が「緊急」のとても危険なセキュリティ・ホールなので,仕事に取り掛かる前に対策を施したい。対策はパッチを適用すること。Windows Updateを実施すれば適用できる。マイクロソフトでは,パッチ適用以外の回避策は「なし」としている。

多くのアプリやサービスに影響

 今回のセキュリティ・ホールは,Windowsに含まれるライブラリ・プログラム「msasn1.dll」に存在する。msasn1.dllは「ASN.1(Abstract Syntax Notation One)」を使うためのライブラリである。ASN.1とは,多くのアプリケーションおよびデバイスで使用される,データの標準表記法のこと(詳細はマイクロソフトの情報を参照のこと)。

 特に,デジタル証明書(X.509)やKerberos,NTLMv2, SSL(TLS)といった認証や暗号化のサービス(技術)で使われている。このため,これらを実装している,Windows上で動作するサーバーおよびクライアント製品のすべてが影響を受ける。具体的には,Internet ExplorerやOutlook Express,SSLを使っているIIS(Internet Information Service/Server),KerberosやNTLMv2認証を利用しているマシンなどが影響を受ける。これらのプログラムやサービスを稼働しているWindowsマシンに対して細工が施されたデータが送られると,マシンのmsasn1.dllでバッファ・オーバーフローが発生する。その結果,データに仕込まれた任意のプログラムがmsasn1.dllの権限(SYSTEM権限)で実行されることになる。

 マイクロソフトの「絵でみるセキュリティ情報」によると,2月11日時点では,このセキュリティ・ホールを突いた攻撃による被害は報告されていないという。しかしながら,影響範囲が大きく,攻撃された場合の被害も深刻なものとなる,とても危険なセキュリティ・ホールである。早急に対策を施す必要がある。休日明けの2月12日に出社した際には,仕事に取り掛かる前に対策を施そう。

 対策はパッチを適用すること。Windows Updateを実施すれば適用できる。セキュリティ情報のページからもダウンロードできる。今回のセキュリティ・ホールについては,パッチを適用すること以外の回避策は存在しない。セキュリティ情報の「回避策」の項には,ただ一言「なし」と記述されている。設定変更やパーソナル・ファイアウオールなどで回避することはできない。

 パッチの適用対象は,Windows NT 4.0の場合には,Windows NT Workstation 4.0 SP6a/NT Server 4.0 SP6a/NT Server 4.0, Terminal Server Edition(TSE), SP6。そのほか,Windows 2000 SP2/SP3/SP4,Windows XP/XP SP1,Windows Server 2003。

 Windows NT 4.0については,今回セキュリティ・ホールが見つかったmsasn1.dllはデフォルトではインストールされていない。つまり,デフォルトでは影響を受けない。しかしながら,過去に公開された「MS03-041」のセキュリティ・パッチや,そのほかのセキュリティ関連以外のパッチの一部としてインストールされるので要注意である。msasn1.dllが存在する場合には,今回公開されたパッチを適用する必要がある。Windows Updateを実施すれば,パッチ適用の必要性を調べてくれるので,NTユーザーもとりあえずWindows Updateを実施すべきだ。

 なお,今回のセキュリティ・ホールの発見者である米eEye Digital Securityなどによると,msasn1.dllのセキュリティ・ホールは2種類見つかっている。今回公開されたパッチを適用すれば,いずれのセキュリティ・ホールも解消できる。

WindowsサーバーのWINSやVirtual PC for Macにもホール

 同日,マイクロソフトはWindows NT Server 4.0/NT Server 4.0, TSE/2000 Server/Server 2003 に見つかったセキュリティ・ホールも公開した。WINS(Windows インターネット ネーム サービス)サーバーとして動作させているWindows Server 2003マシンに,細工が施されたパケットを送信されると,WINSを停止させられる。Windows Server 2003におけるセキュリティ・ホールの深刻度は上から2番目の「重要」。任意のプログラムを実行させられる恐れはない。

 Windows NT 4.0/NT Server 4.0, TSEやWindows 2000 Serverにも同じセキュリティ・ホールがあるものの,WINSサービスを停止させられる恐れはない。このため,深刻度は1番下(上から4番目)の「注意」に設定されている。

 対策はパッチを適用すること。Windows Updateから適用できる。パッチ適用以外の回避策は,WINSを削除すること(デフォルトではWINSはインストールされていない)や,WINSが使うTCP ポート42番およびUDP 137番をファイアウオールなどでブロックすること。ただし,マイクロソフトのセキュリティ情報では,WINSは多くの組織で使われている可能性があるので,安易に削除しないよう注意を呼びかけている。

 さらに同日,マイクロソフトは「Virtual PC for Mac」のセキュリティ・ホールを公開した。悪用されると,一般ユーザーにシステム権限を奪われる可能性がある。深刻度は「重要」。対策はパッチを適用すること。パッチは,セキュリティ情報のページ「Microsoft Mactopia」のページからダウンロードできる。パッチの適用対象はVirtual PC for Mac 6.0/6.0.1/6.0.2/6.1。パッチを適用すると,Virtual PC for Macのバージョンは6.1.1になる。

◎参考資料
2004 年 2 月のセキュリティ情報 (Windows)
2004 年 2 月のセキュリティ情報 (Macintosh)

絵でみるセキュリティ情報 MS04-007 : Windows の重要な更新
ASN .1 の脆弱性により,コードが実行される (828028) (MS04-007)
Multiple Vulnerabilities in Microsoft ASN.1 Library(米US-CERT)
Microsoft ASN.1 Library improperly decodes malformed ASN.1 length values(米CERT/CC)
Microsoft ASN.1 Library improperly decodes constructed bit strings(米CERT/CC)
Microsoft ASN.1 Library Length Overflow Heap Corruption(米eEye Digital Security)
icrosoft ASN.1 Library Bit String Heap Corruption(米eEye Digital Security)
[XGEN] ASN.1 および BER の簡単な紹介
Windowsの脆弱性について(MS04-007)(2/11)(警察庁)

絵でみるセキュリティ情報 MS04-006 : Windows の重要な更新
Windows インターネット ネーム サービス (WINS) の脆弱性により,コードが実行される (830352) (MS04-006)
Virtual PC for Mac の脆弱性により,権限が昇格する (835150) (MS04-005)

(勝村 幸博=IT Pro)