マイクロソフトは3月27日,Windows NT 4.0/2000/XPに新しいセキュリティ・ホールが存在することを明らかにした(該当サイト)。Windowsが実装するリモート・プロシージャ・コール(RPC)のTCP/IP通信に関する仕様にぜい弱性がある。アタッカーはこのぜい弱性を利用して,Windows NT/2000/XPに対してサービス不能攻撃を実行できる。

 今回のぜい弱性は,RPCの「エンドポイント・マッパー」と呼ぶ部分に存在する。アタッカーは,リモート・マシンに対してTCP/IP通信を成立させたのち,あるタイプのメッセージをポート135を通じて送信すると,RPCサービスや同サービスに依存するサービスを異常終了できる。この問題の深刻度は「重要(Important)」レベル(4段階評価の中で危険性が上から2番目)である。

 RPCはWindowsにおけるプログラム間通信の基盤となる機能。RPCを停止するとWindowsの多くの基本サービスが正常に稼働できなくなる。RPC自体はOSF(Open Software Foundation)が定めたプロトコルだが,Windowsに実装されたRPCにはMicrosoftによる変更が加えられている。

Windows NT 4.0には修正パッチが存在せず,ポート135を閉じる必要あり

 Microsoftは,この問題に対して,Windows 2000/XP向けのパッチ配布を開始した。ただし,Windows NT 4.0に関してはアーキテクチャ上の問題により,パッチを作成できないと述べている。Windows NT 4.0ユーザー並びにパッチを適用していないユーザーは,TCP/IPのポート135をファイアウオールなどで閉じる必要がある。

(中田 敦=日経Windowsプロ)