Windows HotFix Briefings：RPCインターフェイスの脆弱性により、システムが乗っ取られる可能性（MS03-026）



Windows HotFix Briefings 緊急セキュリティ情報 RPCインターフェイスの脆弱性により、システムが乗っ取られる可能性（MS03-026） ―― 攻撃者がローカル・システム権限でユーザーのコンピュータを操作する危険性 ―― DA Lab Windowsセキュリティ 2003/07/23

セキュリティ・ホールの概要と影響度

　2003年7月18日、マイクロソフトは、Windows OSの持つRPC（Remote Procedure Call）機能に重大なセキュリティ・ホールが存在することを報告し、それらを修正するための修正プログラムを公開した。深刻度は最も危険性の高い「緊急」である。このセキュリティ・ホールを攻撃することで、攻撃者はコンピュータを乗っ取り、ローカル・システム権限でコンピュータを操作可能になる。早急に修正プログラムの適用作業を開始する必要がある。

マイクロソフト・セキュリティ情報「RPCインターフェイスのバッファオーバーランによりコードが実行される (823980) (MS03-026)」

　RPC（Remote Procedure Call）機能は、ネットワーク上のほかのコンピュータ上にあるプログラム（手続き）を呼び出すためのプロトコルである。Windows NT 4.0、Windows 2000、Windows XP、Windows Server 2003のRPC機能にバッファ・オーバーランのセキュリティ・ホールがあり、RPCで不正なメッセージを受け取ると、DCOM（分散COM）インターフェイスが影響を受け、RPCサービスが異常終了するとともに、攻撃者の任意のコードがローカル・システム権限で実行される危険がある。これにより攻撃者は、そのコンピュータにおいて、プログラムのインストールやハードディスクのフォーマット、データの削除、全アクセス権を持つ新規アカウントの作成などの操作が可能になる。

　WindowsのRPCサービスは、TCP/IPのポート135番や139／445番（SMBプロトコル）を使って動作している（135番はRPCを直接サービスする場合、139番や445番はSMB上でRPCをサービスする場合にそれぞれ使用）。そのため、このような攻撃を行うには、リモート・コンピュータのTCP/IPのポート135／139／445番に不正なメッセージを送信する必要がある。通常、インターネットを介してRPCを利用することはないので、インターネット接続用のファイアウォールでは、これらのポートはデフォルトでブロックするように設定されているはずだ（この場合、攻撃はファイアウォールでブロックされる）。だがイントラネット環境ではRPCによるアクセスが可能であるため、このセキュリティ・ホールを悪用したワームなどにより、社内から攻撃が実行される危険性がある。TCP/IPのポート135番や139／445番はWindows OSにおける最も基本的なサービス用ポートであり、サーバ、クライアントを問わず、ほとんどのOS環境でこれらのポートが有効になっている。もしこれらのポートをブロックしてしまうと、ファイル共有やディレクトリ・アクセスを始めとする、各種のサービスがまったく利用できなくなる。イントラネット環境では、これらのポートをブロックするのではなく、早急に修正プログラムを適用して、RPCサービスの脆弱性を排除することを検討すべきである。

セキュリティ・ホールへの攻撃を一時的に回避する方法

　何らかの理由により、修正プログラムをすぐに適用できない場合には、以下の2つの方法でセキュリティ・ホールへの攻撃を一時的に回避できる。ただしセキュリティ・ホール自体が解消されるわけではないので注意が必要である。

■回避法１：ファイアウォールなどでTCP/IPポート135／139／445番をブロックする
　ファイアウォールなどのTCP/IPフィルタリング機能を利用し、今回の攻撃対象であるTCP/IPポート135／139／445をブロックすることで、攻撃を防止できる（前述したとおり、インターネット向けのファイアウォールでは、これらはブロックされているはずである）。なおWindows XPとWindows Server 2003を利用している場合は、インターネット接続の「インターネット接続ファイアウォール」を有効にすることで、インターネットからのRPCトラフィックをブロックできる。

　ただし、ファイアウォールの内部（社内）でRPCを利用する場合には、この方法では攻撃を回避できない。もしイントラネット向けのネットワーク・インターフェイスでこれらのポートをブロックしてしまうと、ファイル共有を始めとするほとんどのWindowsサービスにアクセスできなくなってしまう。

■回避法2：DCOMを無効化する
　DCOMの機能を無効にすることでも、攻撃を回避することができる。これには次の手順に従う。

［スタート］－［ファイル名を指定して実行］から「Dcomcnfg.exe」を起動する。
Windows NT 4.0またはWindows 2000では、ここで［分散 COM の構成のプロパティ］ダイアログ・ボックスが表示される。Windows XPまたはWindows Server 2003では［コンポーネントサービス］ウィンドウが表示される、コンソールルート下の［コンポーネントサービス］ノードをクリックし、［コンピュータ］サブ・フォルダを開く。そして［マイコンピュータ］上でマウスの右ボタンをクリックし、プロパティ・メニューの［プロパティ］を実行する。
［既定のプロパティ］タブをクリックする。
［このコンピュータ上で分散 COM を有効にする］チェック・ボックスをオフにする。
［OK］ボタンをクリックし、変更を適用する。

DCOMの構成管理ツール

DCOMを一時的に無効にするには、分散COMの管理ツールdcomcnfg.exeを起動し、［分散COM］のチェックボックを無効にする。画面は、Windows XPの管理ツールの場合。

		［マイコンピュータ］を右クリックし、ポップアップ・メニューから［プロパティ］を選択する。
		［既定のプロパティ］タブを選択する。
		このチェックボックスをオフにする。

　ただしDCOMを無効にすると、ほかのコンピュータとのオブジェクト間通信がすべて無効になるため、アプリケーションによっては不具合を生じる可能性もある。この点を留意して設定を変更する必要がある。

修正プログラムに関する注意

■過去の修正プログラムの包含（MS03-010の包含）
　今回と同じRPCインターフェイスに関するセキュリティ・ホールとしては、過去にMS03-010（RPCエンドポイント・マッパーの脆弱性により、サービス拒否の可能性）があった。マイクロソフトのセキュリティ情報における説明によれば、今回公開されたMS03-026の修正プログラムは「過去の修正プログラムを含まない」とされている。しかし公開された修正プログラムを調査したところ、Windows 2000とWindows XPについては、MS03-010の修正も包含しているものと考えられる（修正プログラムの適用によって置換されるファイルがMS03-010とMS03-026で同一のため）。

■Windows NT 4.0 Server向けはMS03-010の修正を含まず
　ただしWindows NT 4.0向けのMS03-010の修正プログラムは、OS自体の大幅な再設計が必要になるという理由から提供されていない。このためWindows NT Server 4.0については、今回提供されたMS03-026の修正プログラムを適用しても、MS03-010のセキュリティ・ホールは解消されない（MS03-010とMS03-026は、同じRPC関連のセキュリティ・ホールだが、問題の発生している個所は両者で異なる）。Windows NT Server 4.0を利用している場合は、前述した回避方法のいずれかで対策を行う必要がある。

■Windows NT Workstation 4.0はサポート対象外
　Windows NT Workstation 4.0には、今回のセキュリティ・ホールは存在するものの、セキュリティ・ホットフィックスのサポート期間が2003年6月30日付けで終了したため、MS03-026の修正プログラムは対象外となっている。修正プログラムのダウンロード・ページを見ると、Windows NT Workstation 4.0も対象であると記述されており、実際に適用することも可能なようであるが、マイクロソフト社（日本法人）はこれについてはサポートしておらず、テストもされていない（このダウンロード・ページの内容は世界各国で共通に作られているため、日本語版のWindows NT Workstation 4.0も対象であるかのように表示されているが、実際には日本語版Windows NT Workstation 4.0はサポート期間がすでに終了している）。Windows NT Workstation 4.0を利用しており、今回の修正プログラムを適用する場合には、運用に十分配慮する必要がある。

修正プログラムの対象プラットフォーム

　修正プログラムを適用するには、以下の対象プラットフォームに示されているサービスパックの適用が前提となる（SPバージョンが明記されていないものはSPとは無関係に適用可能）。

対象OS	適用の前提となるSPバージョン
Windows NT Server 4.0	Windows NT Server 4.0 SP6a
Windows NT Server 4.0, Terminal Server Edition	Windows NT Server 4.0, Terminal Server Edition SP6
Windows 2000	Windows 2000 SP3／SP4
Windows XP	Windows XP SP未適用／SP1／SP1a
Windows Server 2003	Windows Server 2003

MS03-026の修正プログラムの適用対象OS

　Windows HotFix Briefings

Windows Server Insider フォーラム新着記事

Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる （2017/7/27）
　AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう
Azure Storage ExplorerでStorageを手軽に操作する （2017/7/24）
　エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう
Win 10でキーボード配列が誤認識された場合の対処 （2017/7/21）
　キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう
Azure Web AppsでWordPressをインストールしてみる （2017/7/20）
　これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた！まずはWordPressをインストールしてみる