セキュリティ組織である米SANS Instituteは米国時間4月17日,Windowsに見つかった複数のセキュリティ・ホールを改めて警告した。セキュリティ・ホールが公開された翌日の米国時間4月14日には,DoS(サービス妨害)攻撃を仕掛けるコード(プログラム)が既に出現しており,今後は複数のセキュリティ・ホールを突いて任意のプログラムを実行させるようなコードが出現する可能性が高いという。
米Microsoftは米国時間4月13日,Windowsに関する複数のセキュリティ情報を公開した(関連記事)。そのうちの一つである「MS04-011」には14種類のセキュリティ・ホールが含まれ,そのうちの一つ「SSL の脆弱性」を突くコードが既に出現している。
このコードは「SSL Bomb」などと呼ばれ,SSLを有効にしているIIS(Internet Information Server/Services)サーバーにDoS攻撃を仕掛ける。具体的には,プラットフォームがWindows 2000/XPの場合にはSSL接続できないようにし,Windows Server 2003の場合には,マシンをリブートさせる。「SSL の脆弱性」の影響を受けるのは,IISサーバーだけではない。SSLを有効にしているExchange Server 5.5/2000/2003やSQL Server 2000も影響を受けるので注意が必要である。
「SSL の脆弱性」はDoS攻撃を許すだけだが,任意のコードを実行される「LSASS の脆弱性」「PCT の脆弱性」「ヘルプとサポートの脆弱性」「H.323 の脆弱性」「ネゴシエート SSP の脆弱性」「ASN.1 "Double Free" の脆弱性」——といったセキュリティ・ホールも公開されている(「PCT の脆弱性」の関連記事)。
このためSANS Instituteでは,「DoS攻撃を仕掛けるだけではなく,リモートから任意のプログラムを実行させるようなコードが出現する可能性が高い(Although this is a DoS exploit, due the amount of vulnerabilities fixed on the recent patches, exploits with remote code execution may be expected soon.)」として警告している。
既にほとんどのシステムで「MS04-011」などのパッチを適用済みだと思うが,改めて確認したい。すぐにパッチを適用できないシステムでは,マイクロソフトのセキュリティ情報を参照して回避策を実施する必要がある。
なお,マイクロソフトも4月16日に「Internet Explorer と Windows の脆弱性をねらう手口が公開されています」という情報を公開して警告している。
◎参考資料
◆Combined exploits of MS vulnerabilities, port 1981 increase(SANS Institute)
◆IIS Exploit released / Gagobot.XZ(SANS Institute)
◆Internet Explorer と Windows の脆弱性をねらう手口が公開されています(マイクロソフト)
(勝村 幸博=IT Pro)
