2004年1月30日,セキュリティ上の脅威となるWindowsの仕様が明らかになった。発見したのはセキュリティフライデーの関英信氏。米国シアトルで開催されたセキュリティ技術カンファレンス「Black Hat Windows Security 2004 Briefings」での講演「Fingerprinting Through RPC」の中で報告した。
関氏によれば,Windowsがデフォルトでオープンしている1025番以降のポートを突けば,(1)マシン/ユーザーの情報収集,(2)パスワード・クラッキング,(3)任意のコマンドの実行――などが可能になるという。
情報収集/コマンド実行が可能
例えば,Windows XPの場合,1025番ポート経由で「Server Service」,「Workstation Service」,「Task Scheduler」などのサービスにアクセスできる。同じサービスでもポート番号はOSのバージョンなどによって変わる。
Server Serviceからは,サーバーの名前やタイプ,OSのバージョン,現在ログオンしているユーザー名などを取得できる。Workstation Serviceからは同様にローカルに登録されたユーザー名や権限を取得できる。これらの情報が取得できると言うことは,侵入者が簡単にマシン攻略のための情報を取得できること意味する。加えて,現在の時刻,マシンの連続稼働時間も取得できる。「パッチを当てると再起動させられる場合が多い。連続稼働時間を見ることで最新のパッチを当てたかどうかが分かるかもしれない」(関氏)。
Task Schedulerは設定した時間に登録したプログラムを実行させるもの。例えば,23時にTFTPを起動し,インターネットからバックドア・プログラムをダウンロードし,23時5分にこのプログラムの実行するといったことができてしまう。
上の三つのサービスのうち,Server Service,Workstation Serviceはパスワード無し(または空欄のユーザー名/パスワード)で接続して情報を取得できる。「Task Scheduler」はそのマシンを操作できるユーザー名/パスワードが必要である。
とはいえ,パスワードを推測することは安易なパスワードならそれほど困難でない。例えば,ユーザー名をAdministratorとし,これにパスワードと思われる文字列を組み合わせてTask Schedulerにアクセスする。これをパスワードがマッチするまで繰り返す。Administratorは一般に,パスワードの間違った回数によってそのユーザー名でのアクセスを拒否するアカウント・ロックアウト機構が設定されないので,何度でもパスワードを試すことが可能だ。
これまで135,137,138,139,445番ポート(SMBサービスとRPC,DCOM)などのWell-knownポートを使ってほぼ同様のことができることが知られていた。今回危険性が指摘された1025番以上のポートはWindowsがデフォルトでオープンしており,このポートを使ってサービスが呼べることは知られていたが,どのような脅威があるかはほとんど知られていなかった。「1025番ポートの先には,Task SchedulerやServer Service以外にも多数のサービスが見えている。また1025番以外にもいくつかのポートで多数のサービスが動いている。調べきれていないので分からないが,情報収集や攻撃に利用されるサービスはまだまだありそうだ」(関氏)。
防御方法としては,1025番以降のポートをフィルタリングすることと,全ユーザーに推測されないパスワードを付けることが重要となる。
