Windows HotFix Briefings
(2005年8月26日版)

―― 修正プログラム適用に関する問題点、不具合情報の隔週レポート ――

DA Lab Windowsセキュリティ
2005/08/26

このHotFix Briefingsでは、HotFixの公開後に明らかになった問題点や不具合、各種情報ソースで明らかにされた脆弱性などの情報を隔週でまとめてお届けします。
 
[攻撃]
MS05-039を悪用したワーム「Zotob」が発生

情報の内容 攻撃情報
情報ソース マイクロソフト、ウイルス対策ソフトウェア・ベンダ各社など
報告日 2005/08/15
CVE
対象環境 Windows 98/98SE/Me、Windows 2000、Windows XP、Windows Server 2003

 Windows(Windows 2000、Windows XP、Windows Server 2003)のプラグ・アンド・プレイ・サービスに未チェックのバッファがあるために、リモート・コードが実行されたり、特権の昇格を許したりしてしまう、MS05-039の脆弱性を悪用したワーム「Zotob(ゾトブ)」が発生し、一部で被害が広がった。8月16日付けのHotFix Briefings ALERTでお知らせしたとおり、MS05-039の脆弱性は、Windows 2000のみ匿名のリモート攻撃が可能であることから、主にWindows 2000が被害を受けた。Zotobは感染すると、ftpを利用してほかのコンピュータにワームの感染を広げる。場合によっては、コンピュータが再起動を繰り返すなどの症状が発生する場合もある。すでにZotobの複数の亜種が確認されている(シマンテック社によれば、原稿執筆時点で10種類)。感染被害は収束に向かう方向にあるようだが、楽観せずにパッチ適用と感染防止対策を実施しよう。

Hotfix Briefings ALERT MS05-039

 なおZotobは、Windows 2000のプラグ・アンド・プレイ・サービスの脆弱性を悪用して感染を広げているが、SymantecではWindows XPで「簡易ファイルの共有」機能を有効にしている場合、Zotobと同様の攻撃を受ける可能性があることを報告している。これは、「簡易ファイルの共有」機能が、guestアカウントを有効にするため、Windows XPでプラグ・アンド・プレイ・サービスの脆弱性を悪用する条件となる「有効なログオン資格」を容易に得ることが可能なためだ。現在、感染を広げているZotobは、Windows XP を攻撃のターゲットとしていない。しかし今後、「簡易ファイルの共有」機能を有効にしているWindows XPをターゲットとするような亜種の登場も懸念される。Windows XPを利用している場合でも、至急、パッチを適用した方がよい。

 Zotob(初期版のZotob.A)は、次の手順で感染を広げる。

  1. 感染元コンピュータでFTPサーバを動かす。

  2. ランダムなIPアドレスに対し、TCPのポート445番へのSYNパケットを送信する。

  3. TCPのポート445番をリッスンしていて(SYNパケットに対する応答があるかどうかで判断できる)、MS05-039の脆弱性があるなら、これを悪用してシェル・コードを送り込み、2pac.txtという名前のFTPスクリプトをそのコンピュータ(感染先コンピュータ)に作成する。

  4. 感染先でFTP.EXEを実行し、感染元のFTPサーバからワーム・コードをダウンロードする。この際、TCPのポート33333番を使用する。ワーム・コードのファイル名はhaha.exe。

 通信ポートやスクリプト・ファイル、ワーム・コード・ファイルの名前などは亜種によって異なる。

 感染を抜本的に回避するには、マイクロソフトが提供しているMS05-039のパッチを適用する。根本的な解決法ではないが、WindowsファイアウォールなどでTCP 139/445番ポートを適切にブロックすることでZotobの感染を回避できる。何らかの理由でパッチの早期展開が困難な場合には、この方法で感染を予防すること。

 マイクロソフトは、主要なウイルス/ワーム・プログラムの感染確認と削除を実施する無償ツール「悪意のあるソフトウェアの削除ツール」のVer.1.7AにてZotobに対応した。Windows Update/Microsoft Updateやダウンロード・センターから入手できる。

 また、ウイルス対策ソフト・ベンダなどが提供している以下のツールも利用できる。

 上記の削除ツールは単体のマシンでしか駆除/検出作業を行えないという制限があるが、セキュリティ・ベンダ各社が用意した以下のような無償のスキャナを使えば、台数(あるいはIPアドレス数)に制限のあるものの、ネットワーク上のマシンをリモートでスキャンすることなどが可能である。

■関連情報

■セキュリティBBS関連スレッド

 
[脆弱性情報]
msdds.dllの脆弱性により、IEによるWebページ参照でリモート・コードが実行される

情報の内容 脆弱性情報
情報ソース マイクロソフト
報告日 2005/08/19
対象環境 Microsoft Visual Studio .NET 2002 SP未適用、Access 2002 SP3(Office XP)

 マイクロソフトは、「msdds.dll」(Microsoft DDS Library Shape Control)というCOMコンポーネントに脆弱性があり、攻撃用WebページをIEで参照させ、IEからこのCOMコンポーネントにアクセスさせることで、リモート・コードを実行したり、IEを異常終了させたりできることを公表した。msdds.dllは、データベース・オブジェクトをビジュアル化するために利用するCOMコンポーネントで、Visual Studio .NETやAccessなどに含まれている。Windowsのデフォルトの状態ではインストールされない。

 この脆弱性の影響を受ける環境は限定的である。上記セキュリティ・アドバイザリから要点をまとめると次のようになる。

■今回の脆弱性の影響を受ける環境

  • 脆弱性が存在するmsdds.dllのバージョンは7.0.9064.9112と7.0.9446.0の2種類。それより新しいバージョン(7.0.9955.0や7.10.3077.0、またはそれ以上のバージョン)には脆弱性はない

  • Visual Studio 2002 SP未適用(SP1を適用すれば影響を回避できる)

  • Office XP SP3のユーザーで、msdds.dllがインストールされており、さらにmsvcr70.dllとmsvscp70.dllの2つのファイルがIEからアクセス可能な場合(これらのファイルがmsdds.dllと同一フォルダに存在する、または%windir%¥system32ディレクトリに存在するなど)

■脆弱性の影響を受けない環境

  • Office 2003

  • Access 2003

  • Office XP SP3/Access 2002 SP3をデフォルト状態で使用している場合(例外は上記)

  • Visual Studio 2003

  • Visual Studio 2002 SP1

 ただし別の追加アプリケーションによって脆弱性のあるmsdds.dllがインストールされている可能性は否定できないので、確認と対策は必要である。

 マイクロソフトは、この脆弱性を解消する修正プログラムを発表していない。すでに実証コードが公開されているので、脆弱性のあるmsdds.dllがインストールされているなら、早急に回避策を実施すべきだ。回避策には以下の手段がある。

  1. IEの「インターネット」「イントラネット」のセキュリティゾーン設定を「高」にする。

  2. IEの「インターネット」「イントラネット」ゾーンで、ActiveXコントロールの実行を不可にするか、実行前にダイアログを表示するようにする。

  3. msdds.dll COMオブジェクトを無効にする(killbitを設定する)。これにはレジストリの編集が必要。詳細はすぐ次で述べる。

  4. msdds.dllをアンインストールする。コマンド・プロンプトで regsvr32 /u msdds.dll を実行(こちらも詳細後述)。

  5. msdds.dllをEveryoneでは実行不能にする(詳細はアドバイザリの「回避策」を参照)。

 3.の対策を実行するには、レジストリ・エディタ(regedit.exe)で次のレジストリ・キーのDWORD型のデータを「0x00000400」に変更する。

[注意]

レジストリに不正な値を書き込んでしまうと、システムに重大な障害を及ぼし、最悪の場合、システムの再インストールを余儀なくされることもあります。レジストリ エディタでの操作は慎重に行うとともに、あくまで御自分のリスクで設定を行ってください。何らかの障害が発生した場合でも、本Windows Server Insider編集部では責任を負いかねます。ご了承ください。

 
レジストリ・キー HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{EC444CB6-3E7E-4865-B1C3-0DE72EF39B3F}
値の名前 Compatibility Flags
DWORD
値の内容 0x00000400

 4.の対策を実行するには、コマンド・プロンプトから次のコマンドを実行する。

登録解除 regsvr32 /u msdds.dll 
再登録 regsvr32 msdds.dll 

■セキュリティBBS関連スレッド

 
[脆弱性情報]
AcrobatとAdobe Readerにリモート・コード実行を可能にする脆弱性

情報の内容 脆弱性情報
情報ソース アドビ・システムズ
報告日 2005/08/17
CVE CVE-2005-2470
対象環境 Adobe Reader 5.1/6.0〜6.0.3/7.0〜7.0.2、Adobe Acrobat 5.0〜5.0.5/6.0〜6.0.3/7.0〜7.0.2

 Adobe Acrobat/Readerのプラグインの一部にバッファ・オーバーフローの脆弱性が存在する。細工されたPDFファイルを開くことにより、ソフトウェアが異常終了したり、リモートで任意のコードを実行されたりする危険性がある。

 対象ソフトウェアのメジャー・バージョンに対し、Update Managerや修正プログラムを利用して更新することで、この脆弱性に対処できる。

■セキュリティBBS関連スレッド

 
[実証コードの公開]
MS05-038の脆弱性を攻撃する実証コードが公開

情報の内容 実証コードの公開
情報ソース セキュリティ情報サイト
報告日 2005/08/10
対象環境 Internet Explorer 5.01 SP4/5.5 SP2/6 SP未適用/SP1

 2005年8月の月例セキュリティ修正の1つとして公開された緊急レベルの修正プログラム、MS05-038の脆弱性の1つ(COMオブジェクトのインスタンス化のメモリ破損の脆弱性:CAN-2005-1990)を攻撃するための実証コードがFrSIRTから公開された。

 今回公開された実証コードのうち1つは、以前に公開されたJavaprxy.dllではなく、MS05-038で新たに解消された「blnmgr.dll」のインスタンス化を使うものである。詳細は不明だが、もう1つはファイルのダウンロードを可能にするもののようだ。なおWebsenseによれば、スウェーデンにホスティングされているWebサイトがMS05-038の脆弱性を悪用しているのを発見したという。まだMS05-038の修正を適用していないなら、できるだけ早期に適用を実施しよう。

 
[情報]
マイクロソフトが「情報漏えい対策ガイド (Windows 編)」を公開

情報の内容 企業向け情報漏えい対策情報
情報ソース マイクロソフト
報告日 2005/08/19
対象環境

 マイクロソフトは、Windowsの標準機能だけでできる企業内での情報漏えい対策法をまとめた技術文書「情報漏えい対策ガイド」を公開した。具体的には、

(1)リムーバブル・ストレージの使用制限
(2)暗号化ファイルシステム(EFS)の活用
(3)Active Directoryに格納されている個人情報の隠蔽

について解説している。

 
[ツール情報]
マイクロソフトがMBSA 2.0対応のVisio Connector v2を公開

情報の内容 ツール情報
情報ソース マイクロソフト
報告日 2005/08/19
対象環境 -

 マイクロソフトは、MBSA(Microsoft Baseline Security Analyzer)でのスキャン結果を、Visioで視覚化できる無償ツール「Microsoft Office Visio 2003 Connector for the Microsoft Baseline Security Analyzer (MBSA) 2.0」を公開した。従来からMBSA 1.2.1に対応したものは公開されていたが、今回公開されたバージョンでは、1.2.1に加え、新しいMBSA 2.0に対応している。

 
[情報]
マイクロソフトがInternet Explorer 7 Beta 1の技術概要を公開

情報の内容 情報
情報ソース マイクロソフト
報告日 2005/08/14
対象環境 -

 マイクロソフトは、日本語版の「Internet Explorer 7 Beta 1技術概要」(Word文書)を公開した。IE 7は、現行版IE 6の次期バージョンで、まもなく正式公開が予定されている。Beta 1は、Windows Vista Beta1とともに、MSDNサブスクリプション会員向けに2005年8月3日から公開されている。このうち「技術概要」では、IE 7で追加、拡充されたセキュリティ関連機能、インターフェイスの拡充、RSSフィード対応などについて、スクリーン・ショットを交えて解説されている。

 
そのほかの不具合情報、追加情報
 
  関連リンク
  HotFix Report BBS
     
 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間