米SANS Instituteは米国時間1月3日,「WINS(Windows Internet Naming Service)」のセキュリティ・ホールを突く攻撃が増えていることを警告した。WINSとはWindows独自の名前解決機能。WINSサーバーの管理者は,パッチが適用されていることを改めて確認したい。
SANS Insitituteによると,WINSのセキュリティ・ホールを突く攻撃が,12月31日以降増えているという。加えて,WINSが使用するポートであるTCP 42番へのトラフィックが急増していることも確認している。
攻撃が増えている原因の一つは,WINSのセキュリティ・ホールを突くコード(プログラム)が公開されたためだと考えられる。セキュリティ関連のあるWebサイトでは,12月31日付けで公開された。その後,同じコードがセキュリティ関連のメーリング・リストなどにも投稿されている。
このセキュリティ・ホールに関する情報や修正パッチは,マイクロソフトから12月15日に公開されている(関連記事)。公開されたパッチをきちんと適用していれば,攻撃を受けることはない。WINSサーバーの管理者は,パッチが適用されていることを改めて確認したい。
また,ファイアウオールや境界ルーターなどでTCP 42番をふさいでいれば,外部から攻撃を受けることはない。境界ルーターなどを越えてWINSを利用することはまずないので,TCP 42番はふさいでおくべきだ。
◎参考資料
◆WINS Server Vulnerability(米SANS Insitute)
◆Port Graph:Port42
◆REN-ISAC Monitoring:tcp_dst_42_packets
◆WINS の脆弱性により,リモートでコードが実行される (870763) (MS04-045)
(勝村 幸博=IT Pro)
