マイクロソフトは2002年1月30日,Windows 2000 の最初の Security Rollup Package (SRP) である「Windows 2000 SRP1(以後,“SRP1”とする)」の提供を開始した。これは,Windows 2000 Service Pack 2(SP2)以降に提供された,セキュリティに関する修正パッチを集約したものだ。今回のコラムでは,SRP1について詳しく解説する。SRP1には含まれていないパッチも存在するので要注意である。
管理者の負荷を軽減するSRP
「Windows 2000 SRP1」は,2001年10月に発表された「ストラテジック テクノロジー プロテクションプログラム(STPP)」の一環であり,2002年上半期に提供予定としていたものだ(関連記事)。STPPは,セキュリティに関する情報や対策方法を,いち早くユーザーに提供することを目的としたプログラム。SRP1同様,2002年上半期に提供予定とされていたWindows 2000用のSP3は,現在ベータ・テストが進行中である。
Security Rollup Packageは,SP が公開されてから次の SP が公開されるまでを補うもので,個別のパッチをある程度まとめて提供することで,管理者のパッチ適用の負荷を軽減させることが目的である。Windows NT 4.0については,既に公開されている(関連記事)。
これまで筆者は,Windows 2000をサーバーとして運用する場合の,セキュリティ上最低限必要なパッチを「SP2 +『(MS01-044)2001年8月15日 IIS 用の累積的な修正プログラム』と紹介していたが,SRP1の公開により,今後は「SP2 + SRP1」と簡潔に紹介できるようになったのでうれしい限りである。
しかし,SRP1にはいくつか疑問がある。「今まで公開されてきた個別のパッチを適用している環境でも,SRP1を適用する必要があるのか」ということと,「SRP1 さえ適用すれば十分なのか」の2点である。というのも,「Windows NT 4.0 SRP 日本語版」には未公開のパッチが含まれていたし,SRP に含まれていないパッチも存在したからだ(関連記事)。SRP1ではどうだろうか?
個別パッチを適用していれば,SRP1は不必要
まず,「今まで公開されてきた個別のパッチをすべて適用している環境でも SRP1を適用する必要があるのか」の問いについては,「必要なし」が答である。筆者がチェックしたところ,SRP1には未公開パッチは含まれない。
では,「SRP1 さえ適用すれば十分なのか」の問いについてはどうだろうか。SRP1で適用されないパッチの可能性としては2種類考えられる。一つは「SRP1 作成時に公開されていたものの,SRP1に含まれなかったパッチ」,もう一つが「SRP1 作成後に公開されたパッチ」である。順に見ていこう。
まず,「SRP1に含まれなかったパッチ」については,マイクロソフトのWebページ「Windows 2000 Security Rollup Package 1」に記載されている。それによれば,「WebDAV Service Provider によりスクリプトがユーザーとしてリクエストを行う(MS01-022)」のパッチだけが含まれていないという。
マイクロソフトによれば,このセキュリティ・ホールは MDAC ( Microsoft Data Access Component) に含まれる「Internet Publishing Provider」が原因であり,Windows 2000 固有のものではないために含めなかったとしている。
このパッチが,SRP1に含まれる他のパッチとは異なる性質のものであることは,そのファイル名からも見て取れる。SRP1に含まれたパッチのファイル名には,「Qxxxxxx_W2k_SP3_x86_ja.exe」のように「SP3」という単語が含まれており,Windows 2000 SP3 に含まれる予定であることを示している。また,Windows 2000用のパッチであることを表す「W2k」や言語バージョンを表す「ja」が含まれる。
ところが,「MS01-022」のパッチ名には,「SP3」はもちろん,特定のOSおよび言語バージョンを表す文字列が含まれていない。実際,該当するOS(Windows 9x/98 SE/Me/NT 4.0/2000)のすべての言語バージョンに使用可能な,特別なパッチなのである。
SRP1で適用されないパッチはただ1つ
一方,「SRP1 作成後に公開されたパッチ」に関しては,「Windows 2000 Security Rollup Package 1」ページの最後の部分に,「無効な RDP データが Terminal Service を異常終了させる(MS01-052)」よりも後に提供されたパッチは「Windows 2000 SRP2」に含まれる予定であり,SRP1には含まれていないと記載されている。
この条件に当てはまるのは,「信頼するドメインが認証データ内の SID (セキュリティ ID) のドメイン メンバシップを確認しない (MS02-001)」と「Telnet Server に含まれる未チェックのバッファにより,任意のコードが実行される (MS02-004)」の2つだ。ところが,「Windows 2000 Security Rollup Package 1」のリストと「MS02-001」のページには,「MS02-001」のパッチはSRP1に含まれていると記載されている。さらに,「MS02-004」のページにも,「MS02-004」のパッチはSRP1に含まれていると書かれている。
“相変わらず”情報に食い違いが見られ,SP2 と SRP1 の適用後に必要なパッチは何かが明確ではない。そこで,その一覧を以下に示すことにする。まずは,筆者がいつも頼りにしている「HotFix & Bulletin Search」で調べてみた。しかし,「Windows 2000」で「SP2」を選択して検索したものの,ほしい結果を得ることはできなかった。
やはり,自ら整理する必要がありそうだ。そこで,筆者自身が運営する「Winセキュリティ虎の穴」で管理している「Windows 2000 SP2適用後に必要なセキュリティ・パッチ一覧」から,「SRP1に含まれるパッチ一覧」を取り去ってみた。
その結果,「WebDAV Service Provider によりスクリプトがユーザーとしてリクエストを行う(MS01-022)」と,「Telnet Server に含まれる未チェックのバッファにより,任意のコードが実行される (MS02-004)」だけが残った。
しかし,「MS02-004」のパッチはSRP1に含まれていることが,「MS02-004」のレポートには記されている。そのため,残るのは「MS01-022」だけである。
「Windows 2000 SP2 と SRP1 適用後に必要なセキュリティ・パッチ一覧」(powered by 「今週のSecurity Check」)
2002年2月8日時点で,「Microsoft Windows 2000 日本語版 Service Pack 2」と「Windows 2000 SRP1」の適用後に別途必要なセキュリティ・パッチは以下の1個である。
◆「WebDAV Service Provider によりスクリプトがユーザーとしてリクエストを行う(MS01-022)」
なお,「MS01-022」の修正パッチは,Windowsの「アプリケーションの追加と削除」には登録されないことに注意したい。この修正パッチが適用されたことをチェックするには,「msdaipp.dll」のバージョン番号が,「8.102.1403.0」「8.103.2402.0」「8.103.2519.0」のいずれでもないことを確認すればよい。詳細は,「マイクロソフト セキュリティ情報 (MS01-022) : よく寄せられる質問」を参照してほしい。
実は存在した「セキュリティ・パッチ一覧」
いろいろチェックして,最終的に上記の「パッチ一覧」を作るにいたったが,実はマイクロソフトでもパッチ一覧を用意していることに気付いた。「TechNet Online - マイクロソフト セキュリティ情報一覧」の左側にある「製品別修正プログラム一覧」の「Windows 2000 SP 2」を選択すると,「Windows 2000 SP 2セキュリティ修正プログラム一覧」が表示される。そこには,「SRP1」と「MS01-022」がリストアップされており,「SP2 + SRP1」の環境では,「MS01-022」だけが必要であることが分かる。
「最初からこの一覧に気付いていれば,自分で調べる必要はなかったのではないか」---。そんな読者からの声が聞こえてきそうだ。しかし,「製品別修正プログラム一覧」も万全ではない。「Windows XP Professional」を選択すれば表示される「Windows XP Professionalセキュリティ修正プログラム一覧」には,「MS01-059」と「MS01-060」しかリストアップされておらず,以前のコラムで紹介したパッチ一覧と比較すると,明らかに情報不足である。マイクロソフトの特定ページ(コーナー)を信用しきるのは,まだまだ不安が残るのが現状だ。
とはいえ,マイクロソフトが提供するセキュリティ情報は,内容および量ともに充実してきたといえるだろう。以前書いた「SP2のコラム」や「SRPのコラム」等で数回指摘した,意味不明なパッチ情報に比べれば,確実に改善されている。より一層の充実を期待したい。
Windows 2000 には新規のセキュリティ情報とパッチが2件
次に,Windows関連のセキュリティ・トピックス(2002年2月8日時点分)を,各プロダクトごとに整理して解説する。
「Windows 2000」関連では,「マイクロソフト セキュリティ情報一覧」にて,新規情報および日本語版パッチが2件公開された。
(1)Telnet Server に含まれる未チェックのバッファにより,任意のコードが実行される (MS02-004)
Windows 2000においてTelnet サービスを使用している場合,攻撃者から選択されたコードが実行される,もしくはDoS(サービス妨害)攻撃を受ける恐れがあるセキュリティ・ホールだ。
既に公開されている日本語版パッチ適用すれば対応可能である。パッチを適用するには,Windows 2000 SP1 または SP2を適用している必要がある。なお,このパッチは SRP1 に含まれる。
このセキュリティ・ホールは,「Telnet プロトコル オプション」のプロセスを処理するコードに,未チェックのバッファが含まれていることが原因である。悪用すれば,バッファのオーバーランを引き起こしたり,Telnet サービスのセキュリティ コンテキストを使用して任意のコードを実行したり,Telnet サービスを異常終了させたりすることが可能となる。
なお,Windows 2000 の Telnet サービスは,デフォルトでインストールされているものの,起動はされていない。そのため,設定を変更してサービスを起動している場合のみ影響を受ける。
もしTelnet サービスを利用している場合は,速やかに修正パッチを適用する必要がある。しかし,このコラムでも繰り返し述べているように,WindowsシステムにTelnetサーバー機能を組み込むことは,セキュリティの観点から絶対に避けるべきである。さらに,Telnetサーバー機能を組み込んでいない場合でも,Telnetによる攻撃の影響をWindowsシステムが受けた事例が過去にあった。そのため,エッジ(境界)ルーターやファイアウオールで,Telnetのポート(ポート番号の23番)をブロックすべきである。ぜひ徹底して頂きたい。
なお,「Microsoft Interix 2.2」の Telnet Daemonにも同様のセキュリティ・ホールが存在するが,この製品は英語版のみで日本語版は存在しないので,問題にはならないだろう。
(2)信頼するドメインが認証データ内の SID (セキュリティ ID) のドメイン メンバシップを確認しない (MS02-001)
Windows NT 4.0 または Windows 2000 ドメイン コントローラを使用している場合,信頼するドメインのコンピュータ上で,ドメイン管理者のフルアクセス権限を攻撃者に奪われる恐れがあるセキュリティ・ホールである。信頼するドメインが,信頼されるドメインからの認証データのすべての SID に対して,実際に権限があるかどうかを確認しないために発生する。
守るべきドメイン コントローラに,信頼するドメイン間のセキュリティを強化する 「SID フィルタリング」を施せば回避できる。SID フィルタリング機構は,Windows NT 4.0 Server/Server, Enterprise Editionの場合は「Windows NT 4.0 セキュリティ ロールアップ パッケージ」で,Windows 2000 Server/Advanced Serverの場合には,今回紹介した Windows 2000 SRP1 で提供される。
なお,攻撃するには,信頼されるドメインでのドメイン管理者特権を攻撃者が所有している必要がある。加えて,攻撃を成功させるための“仕掛け”は標準機能には存在しない。こうしたことから,実質的な影響は小さいといえるだろう。
そもそも,このコラムでも繰り返し述べているように,インターネット上のシステムにドメイン コントローラを使用することは,セキュリティの観点から絶対避けるべきである。それを順守していれば,今回のセキュリティ・ホールを外部から突かれることはない。
Windows NT 4.0 の新規情報は1件
「Windows NT 4.0」関連では,新規情報および日本語版パッチが1件公開された。
(1) 信頼するドメインが認証データ内の SID (セキュリティ ID) のドメイン メンバシップを確認しない (MS02-001)
内容は,「Windows 2000」の項で説明した通りである。
Exchange 2000 と SFU のパッチが公開
各種サーバー・アプリでは,「マイクロソフト セキュリティ情報一覧」にて,新規情報が1件,日本語版パッチが2件公開された。
(1)Exchange 2000 System Attendant がレジストリ リモート アクセス権を不適切に設定する (MS02-003)
Exchange 2000において,権限を持たないユーザーに,サーバー上のレジストリにリモートからアクセスされ,設定を変更される恐れがあるセキュリティ・ホールである。「Microsoft Exchange System Attendant」がレジストリ設定を変更する方法に問題があるために発生する。
公開されている日本語版パッチを適用すれば回避できる。管理者は速やかに修正パッチを適用しよう。パッチの適用対象は,Exchange 2000 SP2のシステムである。
なお,攻撃者がレジストリにリモート接続するためには,ターゲット・システムとSMB トラフィックをやり取りできなければならない。そのため,NetBIOS およびダイレクト ホストが使用するポート (tcp ポート 139 および 445) が開いている場合のみ影響を受ける。過去のコラムで述べているように,エッジ(境界)ルーターやファイアウオールで,「TCPおよびUDPのポート番号 23,135,137,138,139,445」 をブロックすることは鉄則である。ぜひ順守していただきたい。
(2)Services for Unix 2.0 の Telnet および NFS サービスでメモリ リークが発生する (MS01-039)
Services for Unix(SFU)で提供されている NFS または Telnet サービスを使用している場合,攻撃者からメモリー・リークを引き起こされ,結果的にDoS攻撃を受ける恐れがあるセキュリティ・ホールだ。
2001年7月にセキュリティ・ホール情報だけが公開されていたが,今回ようやく日本語版パッチが公開された。パッチの適用対象は,Windows NT 4.0 SP6a および Windows 2000 SP1/SP2 である。なお,このパッチは,今回紹介した「Telnet Server に含まれる未チェックのバッファにより,任意のコードが実行される (MS02-004)」のパッチに含まれている。
IIS LockDown のドキュメントが公開
サポート技術情報では,「IIS LockDown」ツールの情報が公開された。「IIS LockDown 実行後,アクセス権が空白になる現象について」である。IIS LockDown Wizard 実行後,Internet Information Server 4.0の場合,「C:\InetPub\wwwroot」以下のアクセス権を表示すると,アクセス権が空白になることがある。
この現象は,Windows NT 4.0 で使用されているセキュリティ構成マネージャのバージョンが低い場合に発生する。セキュリティ情報が空白でも,実際のアクセス権は正常に設定されているので問題はない。回避方法が記載されているので,必要に応じて内容をチェックすればよいだろう。
HFNetChkの新版が公開
「Download Center」では,「HFNetChk」ツールの最新バージョン 3.32 が2月4日から公開されている。これは,前バージョンの一部不具合を解消したものである。また,“相変わらず”告知情報はないものの,日本語環境用のHFNetChkのデータベース・ファイル「XML DB」も1月31日に最終更新されている。これはSRP1対応版である。ぜひ,活用しよう。
BlackICE Defender 2.9 にセキュリティ・ホール
東陽テクニカからは「【緊急】BlackICE Defender 2.9 の脆弱点に関して」が公開された。同ソフトは,パーソナル・ファイアウオールとIDS(侵入検知システム)の機能を持つセキュリティ・ソフトである。BlackICE Defenderをインストールしているパソコンが,10000バイト以上のICMPパケットを送信され続けると,ブルー・スクリーンが発生し,DoS状態に陥る恐れがある。
影響を受けるのは,Windows 2000あるいはWindows XPで,バージョン2.9canJ あるいは英語版2.9を稼働させている場合である。異なるプラットフォームや,以前のバージョンでは発生しない。該当するユーザーは,同社のWebページに掲載されている設定に変更して回避する(関連記事)
前回このコラムで紹介した「BalckICE Defender for Workstation ver.2.9canJ の Windows XP での不具合について」というレポートも1月28日に更新されている。英語版だけではあるが,不具合を解消するパッチがリリースされた。 日本語版は現在作成中としている。早期の対応をお願いしたい。
◆Windows 2000 Security Rollup Package 1 (マイクロソフト:2002年 1月31日)
◆Windows 2000 Security Rollup Package, 2002 年 1 月版
◆Windows 2000 Security Rollup Package 1 (SRP1), January 2002
マイクロソフト セキュリティ情報一覧
『Windows 2000』
◆(MS02-004) Telnet Server に含まれる未チェックのバッファにより,任意のコードが実行される
(2002年 2月 8日:日本語情報&日本語版修正パッチ公開,最大深刻度 : 中)
◆ (MS02-001) 信頼するドメインが認証データ内の SID (セキュリティ ID) のドメイン メンバシップを確認しない
(2002年1月31日:日本語情報,及びパッチ情報を公開,最大危険度 : 中)
『Windows NT 4.0』
◆(MS02-001) 信頼するドメインが認証データ内の SID (セキュリティ ID) のドメイン メンバシップを確認しない
(2002年1月31日:日本語情報,及びパッチ情報を公開,最大危険度 : 中)
『Exchange 2000』
◆(MS02-003) Exchange 2000 System Attendant がレジストリ リモート アクセス権を不適切に設定する
(2002年 2月 8日:日本語情報&日本語版修正パッチ公開,最大深刻度 : 低)
『Services for Unix 2.0』
◆ (MS01-039) Services for Unix 2.0 の Telnet および NFS サービスでメモリ リークが発生する
(2002年 2月 1日:日本語版修正パッチ公開)
サポート技術情報
◆IIS LockDown 実行後,アクセス権が空白になる現象について (2002年 2月 6日)
東陽テクニカ
◆【緊急】BlackICE Defender 2.9 の脆弱点に関して (東陽テクニカ:2002年 2月 5日)
山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp
「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)
