Code Red ワームに引き続き,「Code Green」や「Code Blue」といったワームが出現しているようだ。マイクロソフトも Code Red 関連のドキュメントなどで注意を呼びかけている。Code Red 対策だけでは不十分な場合もあるので,管理者は再確認したい。これらに留まらず,さらに“巧妙な”ワームが出現する可能性は十分にある。リモートからの攻撃を可能にするようなセキュリティ・ホールはすべてふさいでおかなければならない。Code Red が証明したように,出現してからでは遅いのである。
マイクロソフトは9月13日,以前から公開しているCode Red 関連ドキュメント「Code Red による深刻な問題に対する防護策と対処方法についての説明」に,Code Red の亜種としてCode Green および Code Blue の情報を追加した。さらに,Code Blue については個別の情報を提供している。
“Red”に引き続き登場した“Green”および“Blue”とは一体どんなワームであろうか。順に説明していく。
“Red”が突く穴をふさいで回る“Green”
まず,Code Green についてであるが,マイクロソフトは名前を挙げているだけで,その詳細については触れていない。そこで,9月1日に米SecurityFocusのメーリング・リストに投稿された,Code Green のベータ版の情報を基に確認しておこう。
同情報によると,Code Green の侵入手口は,基本的に Code Red と同じようである。「(MS01-033)Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される」のセキュリティ・ホールを突いて,Internet Information Server/Sevices(IIS)サーバーへ不正な HTTP リクエストを送ることで,バッファ・オーバーランを発生させる。その後,他のマシンへも侵入し,ネットワークを介して次々と感染を繰り返す。
Code Red と大きく異なるのは,侵入したマシンに「MS01-033」対応パッチを適用することである。つまり,一度 Code Green が侵入したマシンには,Code Redおよび他のCode Greenは侵入できなくなる。さらに,Code Red(正確には Code Red II)が残すバックドア・ファイルを削除してくれるという。
侵入を試みる際に Code Green が送信するリクエストも,Code Red(Code Red II)のそれとは異なる。IIS のログを拡張形式で取得するように設定した場合,Code Red II は次のような痕跡を残す。
GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3% u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a
これに対して,メーリング・リストの情報から判断すると,Code Green は次のような痕跡を残すと思われる。
GET /default.ida?Code_Green__V1.0_beta_written_by_'Der_HexXer'Wuerzburg_Germany_is_ dedicated_to_my_sisterli_'Doro'.Save_Whale_and_visit_ _and_ %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3% u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff %u0078%u0000%u00=a
現時点では情報が少ないために,以上より詳しいことは分からない。ただ,(1)侵入したマシンに対して,破壊活動などは行わない,(2)Code Red が悪用するセキュリティ・ホールをふさぐ---ことは確かなようだ。そのため,一見すると Code Red に対抗する,よい試みであるような感じがする。しかしながら,不正に侵入と感染を繰り返すことは確実であり,インターネットにとって迷惑で不法なワームであることには間違いない。
“Red”とは異なる穴を突く“Blue”
一方 Code Blue は,マイクロソフトのドキュメントである「Code Blue ワームに関する情報」に記載されているように,Code Red が悪用したセキュリティ・ホール「MS00-033」ではなく,2000年10月に公開された「(MS00-078)『Web サーバー フォルダへの侵入』の脆弱性」を突いて侵入を試みる。つまり,感染対象は「MS00-078」対策を施していない IIS 4.0 / 5.0 である。
侵入に成功すると,関連するスクリプトマッピングを削除して「Code Red」が悪用する「MS01-033」をふさぐ。同時に,侵入と感染をネットワーク経由で繰り返す。ここまでは Code Green に似ているが,大きく異なる点が,特定のWebサイトへDoS攻撃を周期的に行うことである。このことから,“Blue”は明確に悪意のあるワームである。詳細については,関連記事を参照してほしい。
ただし,Code Blue の影響を受けるサイトは比較的少ないと考えられる。というのも,Code Blue が悪用する「MS00-078」は,「MS00-078」そのものへの対応パッチはもちろんのこと,「MS00-086」(2000年11月公開),「MS01-026」(2001年5月公開),「MS01-044」(2001年8月公開)のいずれかのパッチを適用していれば,影響を受けないからだ。
加えて,Windows NT 4.0であればSRP (セキュリティ ロールアップ パッケージ) ,Windows 2000 であればService Pack 2 を適用済みであれば,影響を受けない。
こうしたことから,「セキュリティ対策を施している」と管理者が考えているにもかかわらず Code Blue の影響を受けるのは,Windows NT 4.0であれば(1)最新のサービスパックであるSP6aだけを適用しているケースや,(2)SP6aに Code Red 対応の「MS01-033」のパッチだけを適用しているケースである。
また,Windows 2000であれば(1)1つ前のサービスパックであるSP1だけを適用しているケースや,(2)SP1に「Code Red」対応のMS01-033のパッチだけを適用しているケースが対象となる。
つまり,「Code Red」対応だけを施した,セキュリティ対策が不十分なWebサイトが狙われることになる。管理者が「ワーム対策は施した」と考えている分だけ始末が悪い。そう考えると,ある意味“巧妙な”ワームであることには間違いない。
マイクロソフトは今回の Code Blue を受けて,Windows 2000 に対しては「MS01-044」の適用,Windows NT 4.0 に対しては「SRP + MS01-044」の適用を推奨している。
しかし,今後一層“巧妙な”ワームが登場する恐れは十分にある。上記の「推奨」に従っていても対応できない場合もありうる。例えば,過去のコラムで取り上げた「MDAC(マイクロソフト・データ・アクセス・コンポーネント)」のRDS(Remote Data Services)機能のセキュリティ・ホールを狙うワームが予想される([関連記事])。RDS機能を使用しないシステムでは,「/msadc」仮想ディレクトリを確実に削除しておこう。このセキュリティ・ホールを狙う「Code XXX」が登場してからでは遅すぎる。
『Windows NT 4.0』は新規のセキュリティ・ホール情報が1件
Windows関連のセキュリティ・トピックス(2001年9月14日時点分)を,各プロダクトごとに整理して解説する。
『Windows NT 4.0』関連は,「マイクロソフト セキュリティ情報一覧」にて,新規のセキュリティ・ホール情報が1件公開された。
(1)RPC Endpoint Mapper への不正なリクエストにより,RPC サービスが異常終了する
Windows NT 4.0 の RPC Endpoint Mapper に問題があるため,ある特定のデータを含むリクエストを受け取ると,サービスが異常終了する可能性がある。RPC Endpoint Mapper とは,現在 RPC サービスに割り当てられているポート番号を,RPC クライアントが確定できるサービスのことである。
マイクロソフトは日本語情報と同時に,日本語版パッチも公開した。また,RPC Endmapper が動作するポート(135番)を閉じることでも回避可能である。過去のコラムでも書いたように,Windowsネットワーク環境では,あらかじめ「TCPおよびUDPのポート番号 23,135,137,138,139,445」を,エッジ・ルーターで閉じておくべきであろう。
Microsoft サポート技術情報では注目すべき情報が3件
「Microsoft サポート技術情報」は,先週からプロダクトごとに整理して記載されるようになり,大幅に見やすくなった。こうした改善は大歓迎である。
今回は,注目すべき情報が3件公開された。
(1)Windows 2000 のインストール後 Windows XP を起動できない
Windows XP をインストール後,別のパーティションにWindows 2000 をインストールすると,Windows XP 起動時にエラー・メッセージが表示されて正常に起動できなくなるというものだ。
これは,置き替えられた Windows 2000 のブートストラップ・ローダー・ファイルに,Windows XPの起動に必要な情報が含まれていないことに起因する。Windows 2000 でパソコンを起動し,Windows XP CD-ROM の I386 フォルダから,NTLDR および Ntdetect.com ファイルをシステム・ドライブのルートにコピーすることで修復できるとしている。
併せて,複数のOSを混在させてシステム構築したい場合は,各OSを次の順序でインストールする必要があるとの情報も掲載している。注意しよう。
- Windows 95/98/Me (Millennium Edition)
- Windows NT 4.0
- Windows 2000
- Windows XP
なお余談ではあるが,Windows XP 日本語版は「『Microsoft Windows XP』日本語版 開発完了し,製品発売に向け,製造を開始」のリリースで公開された通り,2001年10月25日の米国での発売に続き,2001年11月16日に国内で発売される。「Microsoft サポート技術情報」では,Windows XPに関するサポート技術情報が大量に登録され始めたので,必要な場合はチェックしよう。
(2)ADSI2.5 が適用されている NT 環境に SRP を適用する際の注意点
「JP305228 Windows NT 4.0 セキュリティ ロールアップ パッケージ適用後 STOP 0xA 発生」に引き続き,セキュリティ ロールアップ パッケージ(SRP)を適用する際の留意事項である。
Active Directory Service Interfaces 2.5(ADSI 2.5)がインストールされている Windows NT 4.0 環境に対して SRPを適用すると,ADSI を使うプログラムの実行時にエラーが発生する場合があるというものだ。
これは,SRP が ADSI2.5 ランタイム モジュールの新しいバージョンを前提としていることに起因する。そのため,SRP の適用前に「Active Directory クライアント for Windows NT 4.0」に含まれるADSI2.5 ランタイム モジュールを更新しておくことにより回避可能である。該当ユーザーは,あらかじめ対処しておこう。
(3)[IIS]Code Red ワームに関する資料のご案内
Code Red ワームに対する防護策や対処方法について説明しているドキュメントのリンクを整理した資料である。特に,「Code Red による深刻な問題に対する防護策と対処方法についての説明 更新履歴」は,Code Red 関連情報の更新履歴がまとめて掲載されたドキュメントであり,大変興味深い。ぜひ一度チェックしておこう。
トレンドマイクロから注目すべき情報が2件
トレンドマイクロから,注目すべき情報が2件公開された。
(1)InterScan eManager for Windows NT Ver.3.51J CGIプログラムのバッファオーバーフローについて
「InterScan VirusWall for Windows NT」のプラグイン・ソフトである「InterScan eManager for Windows NT ver. 3.51J」 において,バッファ・オーバーフローが発生することが公開されている。悪用されると,リモートから任意のコードを Local System 権限で実行されてしまう可能性がある。
この問題は,ラックのSecureNet Serviceチームにより,「Trend Micro InterScan eManager for NT Multiple Program Buffer Overflow Vulnerability」として既に指摘されている。修正パッチが公開されているので,ユーザーは必ず適用しておこう。
(2)セキュリティ初心者向けWebサイト・メールサービスを無償提供開始
「快適で安全なブロードバンドを楽しむためのセキュリティ情報」との触れ込みで,「ブロードバンドセキュリティ倶楽部」というWebサイト,および「5分でわかる!安心ブロードバンド」というメール・サービスを,9月19日から6カ月間の期間限定で開始するという。メールは月2回ペースで計12回の発行を予定している。サイトの閲覧およびメール購読のいずれも無料なので,興味がある人はチェックしてもよいだろう。
◆Code Red による深刻な問題に対する防護策と対処方法についての説明 Internet Information Server/Service をご利用いただいているお客様へ (マイクロソフト:2001年9月13日最終更新) ◆Code Blue ワームに関する情報 (マイクロソフト:2001年9月13日)
マイクロソフト セキュリティ情報一覧
『Windows NT 4.0』
◆(MS01-048)RPC Endpoint Mapper への不正なリクエストにより,RPC サービスが異常終了する
(2001年9月11日:日本語解説&日本語版パッチ公開)
Microsoft サポート技術情報
◆Windows 2000 のインストール後 Windows XP を起動できない (2001年9月 3日)
◆ADSI2.5 が適用されている NT 環境に SRP を適用する際の注意点 (2001年9月 6日) ◆[IIS]Code Red ワームに関する資料のご案内 (2001年9月12日)トレンドマイクロ
◆InterScan eManager for Windows NT Ver.3.51J CGIプログラムのバッファオーバーフローについて (トレンドマイクロ:2001年9月12日)
◆セキュリティ初心者向けWebサイト・メールサービスを無償提供開始 ~ブロードバンド時代のセキュリティ意識調査発表~ (トレンドマイクロ:2001年9月14日)山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp
「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)
