Windows HotFix Briefings
(2004年5月7日版)

―― 修正プログラム適用に関する問題点、不具合情報の隔週レポート ――

DA Lab Windowsセキュリティ
2004/05/07

このHotFix Briefingsでは、HotFixの公開後に明らかになった問題点、不具合などの情報を隔週でまとめてお届けします。
 
[ワーム情報]
Sasserワームの詳細と防御、駆除方法

情報の内容 新種コンピュータ・ワームの情報
情報ソース マイクロソフト/ウイルス対策ソフト・ベンダ、ほか
報告日
MS Security# MS04-011
MSKB#
対象環境 Windows 2000/Windows XP/Windows Server 2003

 Windowsの脆弱性を攻撃して感染を広げるコンピュータ・ワーム「Sasser(サッサー)」の活動が確認された。この脆弱性向けの修正プログラムを正しく適用していないWindowsコンピュータがワーム・パケットを受信すると感染し、さらに別のコンピュータへと感染を広げる。

 Sasserが攻撃に悪用するWindowsの脆弱性は、Local Security Authority Subsystem Service(以下LSASS)に未チェック・バッファが存在するというもので、この脆弱性は、4月14日にマイクロソフトから公開されたMS04-011の修正プログラムを適用することで解消される(この修正プログラムに関するHotFix Briefings Alertの記事)。

Windows TIPS:ポート445(ダイレクト・ホスティングSMBサービス)に注意

 初期型のSasserは、生成したIPアドレスに対してTCPの445番ポートを利用するSMBセッションの接続を試み、コマンド・シェルの実行を可能にするシェル・コードを送り込む。コマンド・シェルはTCPの9996番ポート上で実行される。シェル・コードが送り込まれたコンピュータは、このコマンド・シェル上でFTPコマンドを実行し、感染元のコンピュータに接続してワーム本体の実行コードを取得する。SasserはTCPの5554番ポートを使った独自のFTPサーバ機能を持っており、これにより感染先コンピュータに対してワームの実行コード本体を送り込むようになっている(感染先のコンピュータがFTPにより実行コードをダウンロードする)。感染したコンピュータに送り込まれる実行プログラムのファイル名は、avserve.exe、avserve2.exe、skynetave.exe、4桁か5桁の数字の後に「_up.exe」が付くファイルなどである。

 Sasserは以下のレジストリに前出の実行プログラムを登録し、コンピュータの起動時にコードが実行されるようにする。起動されたコードは、別のコンピュータへの感染処理を開始する。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

 しかし、すでにワーム・コードの一部を改変した亜種が複数報告されており、感染プロセスの一部や使用ポート、攻撃用コードのファイル名などは変化する可能性がある。

Sasser感染のメカニズム
Sasserは、WindowsのSMBセッション、LSASSの脆弱性、FTP接続などを利用して感染を広げる。

■感染してしまった場合の駆除方法

 感染が疑われる場合には、マイクロソフトやウイルス対策ソフト・ベンダ各社から提供されているSasserの除去ツールを利用する。手作業で除去することもできる。

 手作業で除去するには、[タスク マネージャ]を起動し、[プロセス]タブで「avserve.exe」または「avserve2.exe」などのSasserと疑われるプロセス、4桁か5桁の数字の後に「_up.exe」が付くプロセスを選択し、プロセスを強制的に終了させる。その後、それらの実行ファイル(ウイルス本体)を手動で削除するか、ウイルス対策ソフトウェアを実行してワームを除去する。

■防御方法

 Sasserの感染から防御するには、ファイアウォールを正しく設置し、MS04-011の修正プログラムを適用する。ただし下記のとおり、MS04-011については、適用による不具合発生の報告が複数なされているので、特に共有サーバなどへの適用では十分な事前調査が必要である。

■関連情報

 
[追加情報]
MS04-011の適用による不具合について

情報の内容 MS04-011の適用により発生する不具合
情報ソース マイクロソフト、Windows関連掲示板、いくつかのベンダ・サイトなど
報告日 2004/04/16
MS Security# MS04-011
MSKB#
対象環境 Windows NT 4.0 SP6a/Windows 2000 SP2、SP3、SP4/Windows XP SP未適用、SP1、SP1a/Windows Server 2003

 Sasserの攻撃対象ともなっている脆弱性を解消する修正プログラムMS04-011であるが、マイクロソフトや各種掲示板、いくつかのコンピュータ・ベンダの報告によれば、MS04-011の適用によって多数の不具合が発生している。危険性の高い脆弱性を解消する修正プログラムなので早期の適用が必要だが、一方で適用にあたって不具合が自身の業務に影響しないかどうかをよく調査する必要がある。

マイクロソフトが明らかにしたMS04-011の適用によって発生する不具合

 マイクロソフトは、4月14日に提供を開始した「TechNetセキュリティ:MS04-011(Microsoft Windowsのセキュリティ修正プログラム)」の修正プログラムを適用することにより、不具合が発生する可能性があることを明らかにした。

 4月30日現在、マイクロソフトが明らかにしている修正プログラム適用による不具合は、以下の3つである。

■(不具合1)コンピュータが起動中に止まってしまったり、システム・プロセスによりCPU占有率が100%になったりする不具合

 Windows 2000に対してMS04-011を適用すると、コンピュータの起動が止まってしまったり、システム・プロセスによりCPU占有率が100%になってしまったりする。

 この現象が発生するのは、「ipsecw2k.sys」「imcide.sys」「dlttape.sys」のいずれかのドライバ・ファイルがインストールされている場合である。サポート技術情報によれば、Nortel Networks VPNを利用し、サービスで「IPSec Policy Agent」の「スタートアップの種類」を手動または自動で設定している場合、障害が発生する可能性があるとしている。またSCSIDLTテープドライブを利用している場合、「dlttape.sys」がインストールされるため、この障害が発生する危険性がある。

 ただし、セキュリティ関連の掲示板などによると、これらのドライバ・ファイルが含まれていないと思われる環境においても、同様の不具合が発生しているようだ。上述以外のドライバ・ファイルにおいても不具合が発生する可能性があるものと思われる。

■(不具合2)STOP 0x00000079エラーが発生する不具合

 マルチプロセッサ環境のWindows NT 4.0にMS04-011の修正プログラムを適用すると、「STOP 0x00000079エラー」が発生し、ブルー・スクリーンとなる。この不具合は、マルチプロセッサ環境のWindows NT 4.0に対し、シングルプロセッサ環境向けのカーネル・ファイル(ntoskrnl.exe)がインストールされるために発生する。

 マイクロソフトは、Windows 2000またはWindows XPのCD-ROMから起動し、%SystemRoot%\$NtUninstallKB835732$\ntoskrnl.exeを%SystemRoot%\System32\にコピーすることで、Windows NT 4.0が起動できるようになる、としている。MS04-011を正常にインストールするには、その後に%SystemRoot%\Repair\Setup.logの内容を修正してMS04-011のアンインストールと再インストールなどを行う必要がある。

■(不具合3)Adobe Illustratorで作成したEMFファイルが表示できなくなる不具合

 MS04-011の修正プログラムを適用すると、Adobe Illustratorで作成したEMF (Enhanced Metafile Format:拡張メタファイル・フォーマット)形式の画像ファイルがInternet Explorerなどで表示できなくなる。

 Windows NT 4.0/2000/XP/Windows Server 2003において、この不具合が発生する可能性があるとしている。Windows 2000とWindows XPに対しては、マイクロソフトのサポート窓口に連絡することにより、この不具合を解消する修正プログラムが入手可能だ。なおWindows Server 2003向けの修正プログラムは、現在のところ提供されていない。

Oracle8iでサービスによるデータベースの自動起動ができなくなる

 オラクルは、自社のサイトで、Oracle8i R8.1.xの稼働しているWindows 2000にMS04-011の修正プログラムを適用すると、サービスによるデータベースの自動起動ができなくなる不具合があると報告した。Oracle8i R8.1.xでは、サービス起動時に内部的に実行する「oradim.exe」の処理でタイミング依存の部分があり、タイミングによっては処理がハングアップ状態になる不具合があったという。MS04-011の修正プログラムの適用により、この潜在的な不具合の発生頻度が高くなることで障害が発生したと、オラクルが製品の不具合であることを明らかにした。

Windows XP SP1/SP1aでUpdateEXPERT 5.1による修正プログラムの適用ができなくなる

 ホットフィックス管理ソフトウェアのUpdateEXPERT 5.1において、MS04-011の修正プログラムを適用したWindows XP SP1/SP1a上から、ほかのコンピュータに対して修正プログラムの適用が行えなくなる、という障害が発生したことを報告している。

 UpdateEXPERT 5.1の発売元であるアップデートテクノロジー社では、MS04-011の修正プログラムに含まれる「Windows Managementの脆弱性」の解消による仕様変更が障害発生の原因と推測している。「Windows Managementの脆弱性」とは、Windows XPで特権を持たないユーザーが、システム特権で実行されるタスクを作成できることがあるというもので、Windows XPのみを対象としている。

 アップデートテクノロジー社のレポートによれば、この障害は「Windows XP SP未適用では発生しない」としている。障害の原因がMS04-011の適用による仕様変更の影響なのか、修正プログラムの不具合なのか、現時点では明らかにしていない。またUpdateEXPERTに限らず、タスク機能を利用し、アプリケーションの配布を行うような資産管理ソフトウェアにおいても、同様の障害が発生する可能性がある。

PRIMERGY TX200FTでの不具合

 富士通は、同社製のIAサーバ「PRIMERGY TX200FT」にMS04-011の修正プログラムの適用を見合わせるようにアナウンスしていた。その後同社は、MS04-011を適用する前に、「緊急修正プログラム」として同社が提供するプログラムを適用することを告知している(5月6日時点のファイル・バージョンは「PRIMERGY TX200FT(Windows 2000タイプ)EnduranceソフトウェアV5 緊急修正#001 V1.0L10」)。

 不具合の詳細などは明らかになっていないが、MS04-011の適用によって、何らかの互換性問題が生じたものと推測される。

■このほかの障害情報

 Windows関連の掲示版などの書き込みによれば、以下のような障害も発生しているようだ。

  • サウンドがビープ音に変わる
     Windows 2000にMS04-011の修正プログラムを適用すると、Windowsのサウンドがビープ音に変わってしまうという不具合が複数報告されている。原因は不明だ。[コントロール パネル]−[サウンドとマルチメディア]ダイアログ−[サウント]タブの[サウンド イベント]ですべてのサウンド・イベントを「なし」に設定し、再起動後に設定することで障害が復旧したという報告もある。

  • Windows Server 2003でInternet Explorerの暗号強度が0ビットとして表示される
     MS04-011の修正プログラムに含まれる「schannel.dll」が正しく更新されず、ファイルが壊れてしまうために発生するようだ。MS04-011を再適用することで障害が解消する可能性がある。

 
[追加情報]
Script Editorのセキュリティ強化など、Office XP SP-3向け修正プログラムの提供が開始

情報の内容 修正プログラムの提供
情報ソース マイクロソフト
報告日 2004/04/20
MS Security#
MSKB# 833858
対象環境 Office XP SP-3

 マイクロソフトは、2004年3月24日に公開した「サポート技術情報:833858(Office XPアップデートについて)」に対応する日本語版の修正プログラムの提供を開始した。この修正プログラムの適用により、Script Editorでの重要なセキュリティの更新、安定性の強化が図られる。

 適用対象となるプラットフォームはOffice XP SP-3なので、SP-3をまだ適用していない場合は、SP-3をインストール後に今回の修正プログラムを適用すること。

 
[追加情報]
Windows NT Workstation 4.0/Windows 2000 SP2向け修正プログラムの限定リリース

情報の内容 修正プログラムの提供
情報ソース マイクロソフト
報告日 2004/04/21
MS Security# MS03-023
MS03-024
MSKB# 823559
817606
対象環境 Windows NT Workstation 4.0/Windows 2000 SP2

 マイクロソフトは、「TechNetセキュリティ情報:MS03-023(HTML コンバータのバッファ オーバーランにより、コードが実行される)」「TechNetセキュリティ情報:MS03-024(Windows のバッファ オーバーランによりデータが破損する)」に対処するWindows NT Workstation 4.0/Windows 2000 SP2向けの修正プログラムの提供を開始した。

 2003年にMS03-023とMS03-024の修正プログラムの提供された時点で、これらのWindows OSは、ライフサイクル・ポリシーに基づきサポート対象外となっていた。そのため、上記OS向けの修正プログラムは提供されなかった。しかしその後マイクロソフトは、古いWindows OSのサポート延長を発表した。今回提供されるのは、このサポート延長に対応したものだ。

 ただし修正プログラムを入手するには、マイクロソフト製品サポート・サービスへの問い合わせが必要である。

 
そのほかの不具合情報、追加情報
 
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間