Windows HotFix Briefings

緊急セキュリティ情報
RPCサービスに重大なセキュリティ・ホール(MS03-039)

―― RPCSSの未チェック・バッファにより、不正なプログラムが実行される可能性 ――

DA Lab Windowsセキュリティ
2003/09/17

セキュリティ・ホールの概要と影響度

 2003年9月12日、マイクロソフトは、Windows OSに組み込まれているRPCSS(Remote Procedure Call Server Service)に新たに3つのセキュリティ・ホールが存在することを報告し、それらを修正するための修正プログラムを公開した。深刻度は最も危険性の高い「緊急」である。このうち2つは未チェック・バッファに起因するもので、これらのセキュリティ・ホールを攻撃することで、攻撃者は相手のコンピュータを乗っ取り、ローカル・システム権限で任意のプログラムを実行するなど、コンピュータの操作が可能になる。

 Blasterワームの原因となったMS03-026も、同じくWindows OSのRPCインターフェイスに潜む未チェック・バッファのセキュリティ・ホールであった。今回のセキュリティ・ホールも、MS03-026と同等の危険性があると考えた方がよい。早急に修正プログラムの適用作業を開始する必要がある。

 RPCSSとは、RPC経由のDCOM(Distributed COM:分散COM)を処理するサービスである。このRPCSSのうち、DCOMをアクティベートするために利用されるRPCメッセージの送受信部分に新たに3つのセキュリティ・ホールが発見された。

 このうち2つは、前述したとおり未チェック・バッファに起因するもので、攻撃者の任意のプログラムが実行される危険がある。具体的には、RPCの接続が確立された後、攻撃者が特別に細工した不正なRPCメッセージをリモート・コンピュータ上のRPCSS内にあるDCOMアクティブ化インフラストラクチャに送信すると、バッファ・オーバーランが発生し、この結果として任意のコードが実行される危険性がある。攻撃者はこのセキュリティ・ホールを悪用することで、リモートから相手のシステムを乗っ取り、任意のプログラムのインストール、データの表示/変更/削除、完全なアクセス権限を持つ新規のアカウント作成などが可能性になる。

 残る1つは、DoS(サービス拒否攻撃)を可能にするセキュリティ・ホールである。このセキュリティ・ホールを悪用してDoSを可能にする実証コード(エクスプロイト・コード)が、すでにセキュリティ関連のメーリング・リストで公開されている。この実証コードを改変したワームの登場が予想されるので注意が必要である。

対象となるソフトウェア

 今回のセキュリティ・ホールは、以下のWindows OSが対象になる。Windows 98 SEやWindows MeなどのレガシーWindowsを除く、Windows NT系のすべてのWindows OSが対象になる。なお今回提供される修正プログラムを適用するには、表の「対象プラットフォーム」に表記したService Packをあらかじめ適用しておく必要がある。

影響を受けるソフトウェア 対象プラットフォーム
Windows NT Workstation 4.0 Windows NT Workstation 4.0 SP6a
Windows NT Server 4.0 Windows NT Server 4.0 SP6a
Windows NT Server 4.0, Terminal Server Edition Windows NT Server 4.0, Terminal Server Edition SP6
Windows 2000 Windows 2000 SP2/SP3/SP4
Windows XP Windows XP SP未適用/SP1/1a
Windows Server 2003 Windows Server 2003 SP未適用

セキュリティ・ホールへの攻撃を一時的に回避する方法

 何らかの理由により、修正プログラムをすぐに適用できない場合には、以下の3つの方法でセキュリティ・ホールへの攻撃を一時的に回避できる。ただしセキュリティ・ホール自体が解消されるわけではないので、あくまで一時的な対処方法である点に留意する必要がある。

■回避法1:ファイアウォールなどで攻撃に使われるTCP/IPポートをブロックする
 リモート・コンピュータとのRPC接続で利用されるUDPの135番、137番、138番、445番ポート、およびTCPの135番、139番、445番、593番ポートをブロックする。さらに、攻撃対象となる可能性があるコンピュータ上で、TCP/IPの80番と443番ポートをリッスンするCOM Internet Service(CIS)とRPC over HTTPを無効に設定する。ちなみに、Windows XPおよびWindows Server 2003でインターネット接続ファイアウォール機能を有効にしている場合には、デフォルトでインターネットからのこれらのRPCトラフィックの受信はブロックされるようになっている。

 当然ながらファイアウォールによるブロックは、ファイアウォールを経由するアクセスにのみ有効である。例えば、ワームに感染したノートPCが社内ネットワークに直接接続された場合などは、この方法では攻撃を防止できないので注意が必要である。

■回避法2:DCOMを無効化する
 DCOMの機能を無効にすることでも、攻撃を回避することができる。これには次の手順に従う(ただしWindows 2000 SP2では条件によって以下の方法では無効化できない。詳細は後述)。

  • [スタート]−[ファイル名を指定して実行]から「Dcomcnfg.exe」を起動する。

 Windows NT 4.0またはWindows 2000では、ここで[分散 COM の構成のプロパティ]ダイアログ・ボックスが表示される。Windows XPまたはWindows Server 2003では[コンポーネント サービス]ウィンドウが表示される、コンソール・ルート下の[コンポーネント サービス]ノードをクリックし、[コンピュータ]サブ・フォルダを開く。そして[マイコンピュータ]上でマウスの右ボタンをクリックし、プロパティ・メニューの[プロパティ]を実行する。

  • [既定のプロパティ]タブをクリックする。

  • [このコンピュータ上で分散 COM を有効にする]チェック・ボックスをオフにする。

  • [OK]ボタンをクリックし、変更を適用する。

DCOMの構成管理ツール
DCOMを一時的に無効にするには、分散COMの管理ツールdcomcnfg.exeを起動し、[分散COM]のチェックボックをオフにする。画面は、Windows XPの管理ツールの場合。
  [マイコンピュータ]を右クリックし、ポップアップ・メニューから[プロパティ]を選択する。
  [既定のプロパティ]タブを選択する。
  このチェック・ボックスをオフにする。

 ただしDCOMを無効にすると、ほかのコンピュータとのオブジェクト間通信がすべて無効になるため、アプリケーションによっては不具合を生じる可能性もある。この点に留意して設定を変更する必要がある。

修正プログラムに関する注意点

■サポート対象プラットフォームの拡大
 危険性が高いセキュリティ・ホールであるためか、今回のMS03-039については、すでにマイクロソフトのライフサイクル・ガイドラインによってサポートが終了したWindows NT Workstation 4.0、Windows 2000 SP2、Windows XP SP未適用版に対しても、修正プログラムが提供さている。マイクロソフトの説明によれば、「脆弱性の特性およびこの製品のサポートが終了したのがつい最近であり、また現在実際に使用されているこれらのOSの数が多いという事実から例外の措置をとることを決定しました」とのことである。

 ただし今回の措置は例外的なものであり、Windows NT Workstation 4.0やWindows 2000 SP2に関しては、すでに修正プログラムが提供されていないセキュリティ・ホールがいくつも存在している。これらサポ−トが終了したOSを利用している場合は、できるだけ早期にOSのバージョンアップやService Packの適用を検討する必要があるだろう。

■Windows 2000 SP2ではMS01-041も併せて適用が必要
 Windows 2000 SP2で、MS01-041(不正なRPCリクエストがサービスを異常終了させる)の修正プログラムが未適用の場合には、上記「セキュリティ・ホールへの攻撃を一時的に回避する方法」の「回避法2:DCOMを無効化する」で説明した手順を実行しても、DCOMが無効化されないという報告がある。

 マイクロソフトの「サポート技術情報:825750(WindowsのDCOMサポートを無効にする方法)」によれば、Windows 2000 SP3以降でなければDCOMは無効化できないとされている。しかしWindows 2000 SP2環境でも、MS01-041の修正プログラムを適用することで、DCOMの無効化が可能とのことである。ただしマイクロソフトは、この方法をサポート対象外としている。

 MS03-039の修正プログラムでは、MS01-041のセキュリティ・ホールは解消されないと思われる(MS03-039には、MS01-048/MS03-010/MS02-026は含まれると記されているが、MS01-041が含まれるという記述はない)。従ってWindows 2000 SP2環境では、MS03-039と併せてMS01-041の修正プログラムを適用する必要がある。

 なお、MS01-041の修正プログラムはWindows 2000セキュリティ・ロールアップ・パッケージ1(SRP1)にも含まれている。可能なら、MS01-041を単体で適用するのではなく、SRP1を適用した方がよいだろう。

脆弱性を検出するスキャン・ツールが更新

 Blasterワームの原因となったMS03-026のセキュリティ・ホールを検出するスキャン・ツールとして、マイクロソフトから「KB 823980 Scanning Tool(KB823980scan.exe)」が提供されていた。このツールが拡張され、今回のMS03-039も検出可能となって「KB 824146 Scanning Tool (KB824146scan.exe)」にバージョンアップされた。ツールのダウンロードと詳細な使用法などは、以下のマイクロソフトのページを参照されたい。End of Article

 Windows HotFix Briefings


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間