マイクロソフトが最近提供した2つのセキュリティ・パッチに不備があることをユーザーが報告している。RPC(Remote Procedure Call)に関するものと,Windows NT 4.0のファイル管理機能に関するものについてである。
マイクロソフトは,7月16日にセキュリティ情報「RPCインターフェイスのバッファオーバーランによりコードが実行される(823980)(MS03-026)」を公開して,Windows 9xを除く全Windows OS用のパッチを提供した。このセキュリティ・ホールは深刻なもので,悪意を持つ者が任意のコードを実行できる。最悪の場合,このセキュリティ・ホールによって,侵入者はネットワーク経由でマシンをコントロールできるようになる。
既に複数の研究者グループがインターネット上でデモ用の攻撃プログラムを公開しており,これが危険性をさらに高めている。だれかがこのセキュリティ・ホールを突くワームを作成して,世界的な規模の攻撃をしかける可能性もある。しかし,ユーザーの対策としては135番ポートをふさぐか,dcomcnfg.exeを使ってDCOMを利用不能にする方法が適切だ。これらを行わないでパッチを適用しても不十分なのである。
NTBugTraqでは,少なくとも1人が,パッチを適用してもデモ用プログラムで攻撃が可能だったと報告している。彼は,Windows 2000(SP4)のシステムを使っているのだが,セキュリティ・ホールのテストのため,デモ用のプログラムを使ったところ,135番ポートに対するサービス拒否攻撃が可能だったという。少なくとももう1人が同じような問題をWindows 2000で確認している。ただし,そのユーザーはWindows XP Home Editionではパッチをインストールすればサービス拒否攻撃に対するぜい弱性はなくなったとする。サービス拒否攻撃は,svchost.exeプロセスが,壊れることが原因で起きる。(補足:7月30日,1人のユーザーがマイクロソフトがこのサービス不能攻撃の情報をMS03-026のパッチに関係ない「新規の問題」として認めたことを報告した。同社は,この問題を修正する別のパッチを提供する予定だ)。
パッチを適用した後でもサービス拒否攻撃が可能であることを示した点でデモ用攻撃プログラムは価値がある。研究者が問題を確認したり,ベンダーのパッチをテストして欠点を証明したりできる。悪意を持つ者が攻撃プログラムを入手する可能性はあるが,それは今に始まったことではない。セキュリティを保つために行うべきことはここしばらく変わっていない。それは,セキュリティに関する最新のニュースを調べ,セキュリティ・パッチの適用が防御の唯一の手段であることを肝に銘じることだ。
同様にマイクロソフトは7月23日に,セキュリティ情報「Windowsの機能の問題により,サービス拒否が起こる(823803)(MS03-029)」を公開している。これはWindowsファイル管理機能に関する欠陥で,Windows NT 4.0および同Terminal Server Editionにある。
これについては複数のNTBugTraqのユーザーがパッチをインストールした後にリモート・アクセス機能が正常に動かなくなったと報告している。ほとんどのユーザーはパッチをアンインストールするとリモート・アクセス機能に生じる問題に対処できることを見つけている。マイクロソフトは,まだこのパッチを提供中で,RASに影響があるとの警告も出していない(訳注:マイクロソフトは7月30日,パッチ適用後にルーティングとリモート・アクセス・サービスが異常終了するという警告を出した)。
この問題は,このセキュリティ・ホールを発見した@Stake社によって見つけられた。同氏の報告はマイクロソフトが提供しているものより詳しい。このセキュリティ・ホールはNT 4.0のファイル名前付けプロセスに関係するものだ。彼らによれば「この欠陥により,ファイルの名前付け機能に長い文字列が渡されるとヒープを壊してしまう。その結果,NT 4.0のファイル名前付けプロセス機能がクラッシュする」という。
@Stakeは攻撃方法の1つとして,IBMのJava仮想マシンを使うものを挙げている。この仮想マシンは,長い文字列を通過させるので,それに伴ってアクセス違反のためサービス拒否状態が起きる。従って,この弱点があるシステムでJavaが有効になっているとネットワーク経由でサービス拒否状態を引き起こせる。
