現在地 HOME > 掲示板 > IT4 > 233.html ★阿修羅♪ |
|
なお、文中で紹介されているメッセンジャーサービスを無効にするやり方は、
>メッセンジャ サービスを無効にする
>
>メッセンジャ サービスを無効にすることにより、攻撃の可能性を防ぎま
>す。次を実行することにより、メッセンジャサービスを無効にすることが
>できます。
>[スタート] をクリックし [コントロール パネル] (または [設定] をポ
>イントし、[コントロール パネル] をクリックします。)
>[管理ツール] をダブルクリックします。
>[サービス] をダブルクリックします。
>[Messenger] をダブルクリックします。
>[スタートアップの種類] の一覧で [無効] をクリックします。
>[停止] をクリックし、[OK] をクリックします。
>回避策の影響 :
>
>メッセンジャ サービスが無効である場合、警告サービス (例 : バックア
>ップ ソフトウェアまたは無停電電源装置からの通知) は伝送されません。
>メッセンジャ サービスが無効にされている場合、明示的にメッセンジャ
>サービスに依存しているサービスは起動せず、エラーメッセージはシステ
>ム イベント ログにログが記録されます。
※なお、元記事は会員登録が必要です。(結構大事な記事なのに会員登録とは、、。(^^;)
[2003/10/29]
◎「ネットにつなぐだけで攻撃を受ける」――第三の“超特大”セキュリティ・ホールを解説する
http://itpro.nikkeibp.co.jp/members/ITPro/SEC_CHECK/20031028/1/
Exploitが既に公開,パッチを適用してもメッセンジャ サービスは無効に
マイクロソフトが10月16日に公開したセキュリティ・ホール「MS03-043」
は,「Blaster」ワームなどが突くセキュリティ・ホール「MS03-026」や
「MS03-039」と同程度に危険である。セキュリティ・ホールを実証するコ
ード(Exploit)も既に公開されているので,すべてのWindowsユーザーが
早急に対策を施す必要がある。今回の記事では,3番目の“超特大”セキ
ュリティ・ホールといえる,この「MS03-043」を詳細に解説する。
メッセンジャ サービスにセキュリティ・ホール
過去の記事でも説明しているように,このコラムでは,「特別なソフト
ウエアや機能を組み込んでいなくても,ほとんどすべてのWindowsが影響
を受ける」かつ「セキュリティ・ホールを悪用するのに,攻撃対象マシン
のユーザーのアクションを必要としない(ユーザーがWebページやHTMLメ
ールなどを閲覧しなくても被害に遭う)」セキュリティ・ホールを“超特
大”として注意を呼びかけている。
「Blaster」ワームなどが実際に悪用した「RPC インターフェイスのバ
ッファ オーバーランによりコードが実行される (823980) (MS03-026)」,
「RPCSS サービスのバッファ オーバーランによりコードが実行される
(824146)(MS03-039)」に続く,3件目の“超特大”セキュリティ・ホール
が,10月16日に公開された「MS03-043」である。
メッセンジャ サービスのバッファ オーバーランにより,コードが実行さ
れる (828035) (MS03-043)
これは,管理者やソフトウエアがユーザーにメッセージを通知するため
に使用する「メッセンジャ サービス」の実装に見つかったセキュリティ
・ホールである。同サービスでは,受信したメッセージを割り当てられた
バッファに渡す前に,メッセージの長さを検証しない。このため,細工が
施されたメッセージを送信されると,バッファ・オーバーランが発生し,
任意のコードを実行させられる可能性がある(関連記事)。
Windows NT 4.0/2000/XP/Server 2003が影響を受ける。Windows Me
は影響を受けない。クライアントやサーバーの区別なく,ネットワークに
接続するだけで攻撃を受ける恐れがあるので,影響を受けるすべての
Windowsマシンに至急パッチを適用する必要がある。
セキュリティ・ベンダーであるInternet Security Systems(ISS)から
は,「MS03-043」のセキュリティ・ホールをチェックするツール
「MS03-043 Messenger Service Scanning Utility」が公開されている。
必要に応じて利用して,パッチの適用を徹底したい。なお,マイクロソフ
トは「MS03-026」と「MS03-039」をチェックするツールを公開しているが,
「MS03-043」をチェックするツールは未公開である。
なお,メッセンジャ サービスは,Windows(Windows Meを除く)が標準
で備えるサービスである。インスタント・メッセージング・サービスであ
る「Windows メッセンジャ」や「MSN メッセンジャ」とは無関係である。
マイクロソフトが公開するセキュリティ情報の「謝辞」によれば,発見
者である「The LSD Research Group(The Last Stage of Delirium
Research Group)」から,マイクロソフトへの事前報告や協力があったこ
とが分かる。このことから,セキュリティ情報の公開前に,このセキュリ
ティ・ホールが悪用されている可能性は小さいと考えられる。最初の“超
特大”セキュリティ・ホール「MS03-026」を発見したのも,The LSD
Research Groupである。
メッセンジャ サービスを無効にして回避
「MS03-043」のセキュリティ情報には明確に記載されていないが,この
セキュリティ・ホールを突いた攻撃を成立させるには,攻撃対象マシンが
以下の条件を満たしている必要がある。
(1)メッセンジャ サービスを有効にしている
(2)NetBIOS および UDP ブロードキャストの着信トラフィックを有効にしている
(3)RPC(Remote Procedure Call)サービスを有効にしている
いずれもデフォルトで有効である。それゆえ,「MS03-043」は“超特大”なのである。すぐにパッチを適用できない場合には,上記いずれかの条件を無効にすれば,攻撃を回避できる。
とはいえ,RPC(Remote Procedure Call)サービスを無効にすれば,
Windowsの動作に影響を及ぼす可能性がある。(1)あるいは(2)を無効
にすることで,回避する必要がある。
マイクロソフトは(1)のメッセンジャ サービスを無効にする回避策を
推奨している。セキュリティ情報の冒頭で,「推奨する対応策 :メッセン
ジャ サービスを直ちに無効にし,修正プログラム適用の必要性を評価し
て下さい」と明記している。このように,マイクロソフト自身がデフォル
トで有効な機能を無効にするよう勧めるのは,極めて異例のことである。
例えば,前回の記事で解説したように,「Internet Explorer 用の累積
的な修正プログラム (828750) (MS03-040)」を悪用した攻撃を回避するに
は,ActiveXコントロールを無効にすることが最も確実である。しかし,
「よく寄せられる質問 」では,無効にするようには勧めず,ダイアログ
を表示する設定を勧めている。このように,Windowsが標準で搭載して,
デフォルトで有効にしている機能を「無効にしましょう」とは,マイクロ
ソフトは通常は言わないのである。
筆者も,サーバーであるかクライアントであるかを問わずに,メッセン
ジャ サービスを無効にすることをお勧めする。「MS03-043」のパッチを
適用していても,メッセンジャ サービスを無効にしておくべきである。
というのも,今後,このサービスに関連したセキュリティ・ホールが見つ
かり,攻撃に悪用される可能性が高いからである。
「MS03-026」という最初の“超特大”セキュリティ・ホールがRPCサー
ビスに見つかっために,関係者はRPCサービスに注目し,その後,類似の
セキュリティ・ホール「MS03-039」が発見された。メッセンジャ サービ
スについても,今回の「MS03-043」を契機に関係者の注目が集まり,メッ
センジャ サービスに関連したセキュリティ・ホールが見つけられる可能
性は高いと考えられる。
また,国内ではあまり問題になっていないようだが,海外ではメッセン
ジャ サービスを悪用して,広告をポップアップ表示させる新手のスパム
が登場しているという。「マイクロソフト サポート技術情報 - 330904
インターネット広告が掲載されたメッセンジャ サービス ウィンドウが表
示される」にも,この問題は記載されている。メッセンジャ機能を利用し
て広告を送るソフトウエアも販売されている。「メッセンジャ・スパム」
でわずらわしい思いをしないためにも,メッセンジャ サービスを無効に
しておきたい。
メッセンジャ サービスを無効にする方法は,「MS03-043」のセキュリ
ティ情報の「回避策」に記載されている。なおWindows Server 2003 では,
メッセンジャ サービスはデフォルトで無効となっている。このため,
Server 2003における「MS03-043」の深刻度は,最低の「警告」に設定さ
れている。
セキュリティ情報に誤解を与える記述
次に,(2)「NetBIOS および UDP ブロードキャストの着信トラフィッ
クを有効にしている」について解説する。
メッセンジャ サービスのメッセージは,net send コマンドやクライア
ントとサーバー間の Alerter (警告) サービスにより, NetBIOS または
RPC を使って配信される。 このため,NetBIOS および UDP ブロードキャ
スト・パケットをブロックすれば,攻撃を回避できる。
マイクロソフトが公開する「MS03-043」のセキュリティ情報では,「問
題を緩和する要素」の項で,「ユーザーが NetBIOS ポート (ポート
137-139) および UDP ブロードキャスト・パケットをファイアウォールで
ブロックしている場合,攻撃者は,これらのポートを使用し,メッセンジ
ャサービスにメッセージを送ることができません」としている。NetBIOS
と UDP ブロードキャスト・パケットをブロックすることは正しいのだが,
具体的に書かれているポート番号が「137-139」だけなので,誤解を与え
る恐れがある。
「マイクロソフト サポート技術情報 - 330904 インターネット広告が
掲載されたメッセンジャ サービス ウィンドウが表示される」では,「メ
ッセンジャ サービスは,UDP ポート 135,137,138,および TCP ポート
135,139,445,さらに 1024 よりも大きい番号の一時利用ポートを使用
します」と,ポート番号を明記している。ISSも「ワームまたは攻撃コー
ドが利用すると予想されるのは,TCPおよびUDPの1024-1100番までのポー
ト」と注意を促している。
これらを考慮すれば,誤解を与えないために,「NetBIOS が使用するポ
ート (TCP/UDP ポート番号 135,137-139,445) および UDP ブロードキ
ャスト パケットが使用するポート(UDP ポート番号 1024 以上)をふさ
ぐ必要がある」と明確に書くべきだろう。
Windows XPとWindows Server 2003では,標準搭載されているICF(イン
ターネット接続ファイアウォール)機能を有効にすれば,これらのポート
をブロックできる。Windows XPに当初搭載されたICFは,ユニキャストの
着信トラフィックのみを検査したが,Windows XP Service Pack 1 および
Windows Server 2003からは,すべてのトラフィック(ユニキャスト/マ
ルチキャスト/ブロードキャスト)を検査対象とする。そして,勝手に送
られてくるトラフィックは,どのようなものでもブロックする(詳細は,
「マイクロソフト サポート技術情報 - 329928 - Windows XP SP1 および
Windows Server 2003 では ICF が勝手に送り付けてくるユニキャスト,
マルチキャスト,およびブロードキャスト トラフィックをブロックする」
を参照)。
「MS03-043」の公開から4日後にExploit出現
「MS03-043」のセキュリティ・ホールを発見した「The LSD Research
Group」は,「MS03-043」のパッチが公開された後も,「We have
discovered a critical security vulnerability in the RPC Messenger
Service. 」(私たちは,RPCメッセンジャ サービスにセキュリティ上の
重大な脆弱性を発見した)という簡単なメッセージしか公開していない。
悪用を防ぐためだと考えられる。
前述のように,The LSD Research Groupは「MS03-026」も発見している。
このときも,悪用を恐れて,パッチ公開後も技術的な内容は公開していな
い。
exploits codeは必ず作成できる
TCP/IP でメッセージの送受信を処理するRPCのある特定の個所にセキュリ
テ・ホールが存在する
RPC を使用する DCOMインターフェイスに影響が発生する
Windows Me/98は影響を受けない
Windows NT 4.0とNT Server 4.0 TSEは,特に影響を受けやすい
などを記したレポート「Buffer Overrun In Windows RPC Interface」を
公開しただけである。
それにもかかわらず,上記のレポートが公開された9日後に,「Xfocus」
と呼ばれる中国で設立されたグループが,「MS03-026」の詳細な分析と
Exploitを公開した。2003年8月に出現したBlasterワームとその変種は,
このとき公開されたExploitがベースになっているといわれている。
Xfocusがどのような方法でセキュリティ・ホールを解析したのかは不明
である。しかし,The LSD Research Groupのレポートがヒントになった可
能性は否定できない。そこで今度は,技術的な内容はもちろんのこと,ヒ
ントになりそうなことは一切公開せず,「We have discovered a
critical security vulnerability in the RPC Messenger Service. 」と
だけ公開したのではないかと,筆者は考えている。
だが,The LSD Research Groupが情報を公開しなかったにもかかわらず,
パッチ公開からわずか4日後に,「MS03-043」のExploitが出現した。情報
処理振興事業協会(IPA)は,10月20日に公開した「Windows のメッセン
ジャサービスの脆弱性について」で「この脆弱性を攻略するプログラムが
既に出現しています」と警告している。
ISSも,10月21日に公開した「Weekly SOC Report」において,「すでに,
この脆弱性に対するDoSコードが公開されており,ワームに転用できるコ
ードも,近日中に公開されるものと予想されています」と警告している。
さらに同社は,セキュリティ アドバイザリ「Microsoft RPC での競合
状態によるサービス不能」において,「MS03-039」のパッチを適用しても
修正できないセキュリティ・ホールが,RPC サービスに存在することを明
らかにした。このセキュリティ・ホールを突くDoSコードが既に存在する
という。
筆者が以前の記事「今後も見つかる可能性が高い“超特大”セキュリテ
ィ・ホール,回避策の実施が不可欠 パッチが公開される前の“ゼロ・デ
イ・アタック”に備えよ」で予測した事態が発生しているのだ。
セキュリティ・ホールの発見者が何のヒントを出さなくても,Exploit
は必ず作られる。さらには,パッチが未公開のセキュリティ・ホールを突
くExploitも作られる。ユーザーとしては,セキュリティ・ホールが公開
されれば,必ずパッチあるいは回避策を施すことはもちろんのこと,未知
のセキュリティ・ホールに備えた回避策を施す必要もあるのだ。
幸い,「MS03-026」や「MS03-039」の回避策は基本的に共通であり,
RPC関連の未知のセキュリティ・ホールに対しても,かなりの確度で有効
だと考えられる。具体的な回避策は,過去の記事および「よく寄せられる
質問 : マイクロソフトセキュリティ情報(MS03-039)」や「Blaster に
関する情報」の「回避策」を参照してほしい。
マイクロソフトのアナウンスは不十分
繰り返しになるが,「MS03-043」は他の「緊急」のセキュリティ・ホー
ルよりも強調して注意を呼びかけるべきセキュリティ・ホールである。
「MS03-026」や「MS03-039」と同じように,ネットワークに接続するだけ
で攻撃を受ける恐れがあるのだ。マイクロソフトは,このことをきちんと
アナウンスしているのだろうか。答えは残念ながら「ノー」である。他の
セキュリティ情報に埋もれているのが現状だ。
マイクロソフトはセキュリティ情報とパッチの公開スケジュールを変更
し,1カ月に1度まとめて公開するようになった(関連記事)。その第1回
目が10月16日だった。7種類のセキュリティ・ホールが公開され,そのう
ち5種類が,最大深刻度「緊急」のセキュリティ・ホールだった。
「MS03-043」はそのうちの1つだった。“別格”扱いしなければ,ユーザ
ーは5種類の「緊急」にうんざりするばかりで,「MS03-043」の危険性に
気付きにくいだろう。
ところが,マイクロソフトのWebサイトを見る限りでは,“別格”扱い
していない。「セキュリティ情報センターのご案内」や「セキュリティ
スクエア」では,「MS03-043」に関するアナウンスは見当たらない。
「マイクロソフト セキュリティ」では,「Important Announcements」
として,「Windows Update」の実施を促すと同時に,なぜか「MS03-047:
Exchange Server 5.5 Outlook Web Access の脆弱性により,クロスサイ
ト スクリプティングの攻撃が実行される (828489)」と「MS03-046:
Exchange Server の脆弱性により,任意のコードが実行される (829436)」
をアナウンスしている。これだけを見ると,「MS03-046」と「MS03-047」
が重要なように見えるが,単に新しい順で並べているだけのようだ。
「MS03-046」はExchange Serverを稼働しているマシンだけが影響を受け
るものの,最大深刻度は「緊急」である。しかし,「MS03-047」の最大深
刻度は「警告」である。「MS03-043」を差し置いて,目立つべき場所でア
ナウンスする必要があるとは思えない。
「TechNet セキュリティ センター」では,相変わらず「Internet
Explorer 用の累積的な修正プログラム (828750) (MS03-040)」と「RPCSS
サービスのバッファ オーバーランによりコードが実行される (824146)
(MS03-039)」を強調している。
もし,マイクロソフトが今回の「MS03-043」を“超特大”のセキュリテ
ィ・ホールであると認識しているのであれば,ぜひ積極的にアナウンスし
てもらいたい。
一方で,望ましい“アナウンス不足”もある。10月15日に公開された
「Windows XP アップデート ロールアップ 1」も,「MS03-043」同様,積
極的にはアナウンスしていない。「MS03-043」についてはこのままでは不
十分だが,「Windows XP アップデート ロールアップ 1」についてはこの
ままで十分だ。
というのも,「Windows XP アップデート ロールアップ 1」は,
「Windows XP についてこれまでにリリースされたすべての重要なアップ
デートを 1 つのパッケージにまとめたもの」であるが,肝心の
「MS03-043」が含まれていないからだ(「Windows XP アップデート ロー
ルアップ 1」に含まれているパッチは「マイクロソフト サポート技術情
報 - 826939 Windows XP 用ロールアップ修正プログラム 1 について」
に詳しい)。
「マイクロソフト サポート技術情報 - 826939 Windows XP 用ロール
アップ修正プログラム 1 について」には,「SP1 未適用の Windows XP
ベースのコンピュータにこのロールアップ修正プログラムをインストール
することはできますが,SP1 およびこのロールアップ修正プログラムに含
まれない他の重要な更新とセキュリティ修正プログラムもインストールす
ることを推奨します」と記述されているものの,「MS03-043」を含む10月
分のパッチと「Windows XP アップデート ロールアップ 1」の公開日が近
かったために,「『Windows XP アップデート ロールアップ 1』を適用す
れば,しばらくは大丈夫」と誤解される恐れがある。
最後に,スペースの都合上詳細は割愛するが,「MS03-043」以外の
Windows関連セキュリティ・トピックス(2003年10月26日時点分)につい
ては,プロダクトごとにまとめたリンクを記事末に記したので,最新情報
を確認してほしい。
特に,「リストボックスおよびコンボボックスのコントロールのバッフ
ァオーバーランにより,コードが実行される (824141) (MS03-045)」では,
「Windows XP 用のファイル情報が誤っていたこと」や「パッチによって
は,特定のソフトウエアとの互換性に問題があること」が追記された。た
だし後者については,日本語版パッチは影響を受けない。
また,「Exchange Server 5.5 Outlook Web Access の脆弱性により,
クロスサイト スクリプティングの攻撃が実行される (828489) (MS03-047)」
では新たなパッチが公開された。当初公開されたパッチは,特定の言語に
対応していなかったためである。ただし,新しく公開されたパッチを適用
する必要があるのは,Outlook Web Access の言語パックから言語をイン
ストールしている場合だけ。インストールしていない場合には,新しいパ
ッチを適用する必要はない。
マイクロソフト セキュリティ情報一覧
■ 2003 年 10 月のセキュリティ情報 (Windows)
(2003年10月16日:日本語情報公開)
■ 2003 年 10 月のセキュリティ情報 (Exchange)
(2003年10月23日:MS03-047 が更新され,Outlook Web Access 言語パックにより追加される言語のための修正パッチの詳細情報が追加)
(2003年10月16日:日本語情報公開)
『Windowsファミリ』
◆Windows の「ヘルプとサポート」のバッファ オーバーランにより,システムが侵害される(825119) (MS03-044)
(2003年10月16日:日本語情報および日本語版パッチ公開,最大深刻度 : 緊急)
『Windowsファミリ(Windows Meを除く)』
◆メッセンジャ サービスのバッファ オーバーランにより,コードが実行される (828035) (MS03-043)
(2003年10月16日:日本語情報および日本語版パッチ公開,最大深刻度 : 緊急)
◆ Authenticode の検証の問題により,コードが実行される (823182) (MS03-041)
(2003年10月16日:日本語情報および日本語版パッチ公開,最大深刻度 : 緊急)
◆リストボックスおよびコンボボックスのコントロールのバッファオーバーランにより,コードが実行される (824141) (MS03-045)
(2003年10月23日:互換性に関する問題を修正したパッチを公開)
(2003年10月20日:特定のパッチの互換性に関する問題を追記)
(2003年10月20日:Windows XP 用のファイル情報の誤りを修正)
(2003年10月16日:日本語情報および日本語版パッチ公開,最大深刻度 : 重要)
『Windows 2000』
◆Windows トラブルシュータ ActiveX コントロールのバッファ オーバーフローにより,コードが実行される (826232) (MS03-042)
(2003年10月16日:日本語情報および日本語版パッチ公開,最大深刻度 : 緊急)
『Exchange Server 5.5/2000』
◆Exchange Server の脆弱性により,任意のコードが実行される (829436)(MS03-046)
(2003年10月16日:日本語情報および日本語版パッチ公開,最大深刻度 : 緊急)
『Outlook Web Access を実行しているExchange Server 5.5』
◆ Exchange Server 5.5 Outlook Web Access の脆弱性により,クロスサイト スクリプティングの攻撃が実行される (828489) (MS03-047)
(2003年10月23日:Outlook Web Access 言語パックから追加した言語用パッチの詳細情報を追加)
(2003年10月16日:日本語情報および日本語版パッチ公開,最大深刻度 : 警告)