なぜセキュリティ情報を更新したのですか?
このセキュリティ情報の公開後に、マイクロソフトは、 RPC を使用している他のポートで、この脆弱性が悪用されることが可能なことを知らされました。これらのポートに関する情報を、問題を緩和する要素と回避策に追加しました。
また、マイクロソフトは、セキュリティ情報MS03-039 およびこのセキュリティ情報 (MS03-026) およびその中で提供された元のスキャン ツールの機能を含む新たなスキャン ツールをリリースしました。そのため、このセキュリティ情報を更新し、新たな更新プログラムおよびスキャンツールのリリースに関してお知らせしました。
この更新プログラムは Windows 2000 Service Pack 2 でサポートされますか?
このセキュリティ更新プログラムは、Windows 2000 Service Pack 2 にインストールすることができます。しかし、マイクロソフト サポート ライフサイクル ポリシーに従い、このバージョンは現在サポートの対象となっておりません。また、このセキュリティ更新プログラムに関しては、Windows 2000 Service Pack 2 上では最低限のテストのみが行われています。Windows 2000 Service Pack 2 をご使用のお客様は、できるだけ早期にサポート対象の Service Pack にアップグレードすることを強く推奨します。マイクロソフト製品サポート サービスでは、この更新プログラムを Windows 2000 Service Pack 2 にインストールしたお客様が、この更新プログラムのインストールによって問題が発生した場合のサポートを提供しています。
この更新プログラムは Windows NT 4.0 Workstation でサポートされますか?
このセキュリティ更新プログラムは、Windows NT 4.0 Workstation Service Pack 6a にインストールすることができます。しかし、マイクロソフト サポート ライフサイクル ポリシーに従い、このバージョンは現在サポートの対象となっておりません。また、このセキュリティ更新プログラムに関しては、Windows NT 4.0 Workstation Service Pack 6a 上では最低限のテストのみが行われています。Windows NT 4.0 Workstation Service Pack 6a をご使用のお客様は、できるだけ早期にサポート対象のバージョンにアップグレードすることを強く推奨します。マイクロソフト製品サポート サービスでは、この更新プログラムを Windows NT 4.0 Workstation Service Pack 6a にインストールしたお客様が、この更新プログラムのインストールによって問題が発生した場合のサポートを提供しています。
MS03-026 の更新プログラムがインストールされていないシステムの存在をネットワーク内でスキャンするために使用するツールは利用可能ですか?
はい。マイクロソフトは MS03-026 の更新プログラム、または新たにリリースされた MS03-039 の更新プログラムがインストールされていないシステムの存在をネットワーク内でスキャンするために使用するツールをリリースしました。
注意 : このツールは英語版ですが日本語環境でも使用することができます。ただし、ホスト名に日本語 (MBCS: Multi Byte Character Set) を使用することは出来ません。
このツールに関する追加情報はマイクロソフト サポート技術情報 827363 をご覧ください。
以前に MS03-026 のスキャンツールをダウンロードしました。今回アップデートされたツールをダウンロードする必要がありますか?
はい。元のスキャン ツールにより、MS03-026 の更新プログラムがインストールされていないコンピュータが今でも適切にスキャンされます。しかし、マイクロソフトは、MS03-026 の更新プログラムの機能を含む MS03-039 をリリースしました。MS03-039 の更新プログラムをインストールした場合、最初のスキャン ツールでは確実な結果が得られなくなります。しかし、新たにリリースされたスキャン ツールは、この脆弱性の影響を受けるコンピュータを適切にスキャンし、MS03-039 がインストールされている場合でも、適切にスキャンが行われます。
どのようなことが起こる可能性がありますか?
これはバッファ オーバーランの脆弱性です。攻撃者はこの脆弱性を悪用し、リモート コンピュータを完全に制御する可能性があります。これにより、攻撃者はたとえば Web ページの変更、ハード ディスクの再フォーマット、新規のユーザーをローカル管理者グループに追加するなど、そのサーバー上で任意の操作を実行する可能性があります。
攻撃者がこのような攻撃を行うには、RPC サービスに不正なメッセージを送信できることが必要条件となります。その結果、攻撃者は標的となるコンピュータを異常終了させ、任意のコードを実行する可能性があります。
何が原因で起こりますか?
ある特定の状況下において、Windows RPCSS サービスで、メッセージの入力チェックが適切に行われないためにこの脆弱性が起こります。接続が確立された後、攻撃者が特別な細工をした不正な RPC メッセージを送信した場合、リモート コンピュータ上の基本となる Distributed Component Object Model (DCOM) (英語情報) プロセスが異常終了し、攻撃者の任意のコードが実行される可能性があります。
DCOM とは何ですか?
Distributed Component Object Model (DCOM) は、ソフトウェア コンポーネントがネットワーク上で直接通信することを可能にするプロトコルです。以前は "Network OLE," と呼ばれていた DCOM は、HTTP などのインターネット プロトコルを含む複数のネットワーク通信で使用するために設計されています。DCOM に関する詳細は、以下の Web サイトをご覧ください。
http://www.microsoft.com/com/default.mspx (英語情報)
リモートプロシージャコール (RPC) とは何ですか?
リモート プロシージャ コール (英語情報) (RPC) は、プログラムがネットワークの別のコンピュータ上のプログラムからのサービスを要求するために使用することができるプロトコルです。RPC を使用するプログラムは、通信をサポートするネットワーク プロトコルを認識する必要がないため、RPC により、相互運用性が得られます。RPCでは、要求を行うプログラムは、クライアントで、サービスを提供しているプログラムがサーバーとなります。
COM インターネットサービス (CIS) および RPC over HTTP とは何ですか?
RPC over HTTP - v1 (Windows NT 4.0、Windows 2000) および v2 (Windows XP、Windows Server 2003) により、RPC を TCP ポート 80 および 443 (v2 のみ) で操作することができる新たな RPC 転送プロトコルのサポートが提供されます。これにより、多くのプロキシ サーバーやファイアウォールの存在する環境で、クライアントとサーバーのコミュニケーションが可能になります。COM インターネット サービス (CIS) により、DCOM が RPC over HTTP を使用して、DCOM クライアントおよび DCOM サーバー間で通信できるようになります。
Windows Server 2003 の "RPC over HTTP " の詳細は、以下のサイトをご覧ください。http://msdn2.microsoft.com/en-us/library/Aa375384 (英語情報)
COM インターネット サービス (CIS と呼ばれることもあります) に関する詳細は、以下のサイトをご覧ください。http://msdn2.microsoft.com/en-us/library/ms809302.aspx (英語情報)
COM インターネットサービス (CIS) または RPC over HTTP がインストールされているかどうかは、どのように確認できますか?
サーバーに COM インターネット サービスまたは RPC over HTTP がインストールされているかを確認するには、以下の手順に従ってください。
| • | Windows NT Option Pack をインストールした Windows NT 4.0 システムの場合 :
すべてのパーティションで "rpcproxy.dll" の検索を行います。サーバーで "rpcproxy.dll" が検索された場合、COM インターネット サービスがインストールされています。 |
| • | Windows 2000 および Windows Server 2003 の場合 :
[コントロールパネル] で、[アプリケーションの追加と削除] をダブルクリックします。次に [Windows コンポーネントの追加と削除] をダブルクリックします。Windows コンポーネント ウィザードが開始されます。
[ネットワークサービス] をクリックし、 [詳細] ボタンをクリックします。
"COM インターネットサービスプロキシ" (Windows 2000 Server の場合) または HTTP プロキシを経由した RPC" (Windows Server 2003 の場合) がチェックされている場合、そのサーバーでは COM インターネット サービスまたは HTTP を経由した RPC のサポートが有効にされています。
注 : COM インターネット サービスまたは RPC over HTTP がインストールされていることをリモートまたはプログラムによって確認したい場合、Windows 2000 および Windows Server 2003 のインストールで "rpcproxy.dll" の検索を行うこともできます。
コンピュータで特定のファイルを検索する方法 :
[スタート] メニューから [検索] を選択します。 [ファイルやフォルダ] をクリックし、検索するファイルの名前を入力します。ハードディスクのサイズによって、検索の実行には多少の時間がかかる場合があります。 |
RPCSS サービスの何が問題となっていますか?
DCOM のアクティブ化を処理する RPCSS サービスに問題が存在します。不正なメッセージが不適切に処理されるために問題が発生します。この問題により DCOM のアクティブ化に使用され、UDP ポート 135、137、138、445 および TCP 135、139、445、593 をリッスンする基本の RPCSS サービスに影響が及びます。また、RPCSS サービスは、CIS または RPC over HTTP が有効にされている場合、ポート 80 および 443 をリッスンします。
攻撃者は不正な RPC メッセージを送信することにより、コンピュータ上の RPCSSサービスを異常終了させ、任意のコードが実行される可能性があります。
これは RPC エンドポイントマッパーの問題ですか?
いいえ、違います。RPC エンドポイント マッパーは DCOM インフラストラクチャと RPCSS サービスを共有していますが、この問題は、実際には DCOM アクティブ化インフラストラクチャで起こります。RPC エンドポイント マッパーにより、RPC クライアントは特定の RPC サービスに割り当てられているポート番号を確認することができます。エンドポイントは、ホスト マシン上のサービスのプロトコル固有の識別子のことです。エンドポイントは、TCP または UDP などのようなプロトコルにとっては、ポートとなります。名前付きパイプにとっては、名前付きパイプの名前となります。ほかのプロトコルは、プロトコル固有のエンドポイントを使用します。
この脆弱性により攻撃者は何ができますか?
攻撃者はこの脆弱性を悪用し、影響を受けるシステム上で、ローカル システム権限でコードを実行する可能性があります。攻撃者はこれにより、そのコンピュータ上で、プログラムのインストール、データの表示、変更、削除、完全アクセス権限を持つ新規のアカウントの作成などの任意の操作を実行する可能性があります。
攻撃者は、どのようにこの脆弱性を悪用する可能性がありますか?
攻撃者は、影響を受けるTCP/UDP ポート からこれらの脆弱性の影響を受けるサーバーと通信するプログラムを作成し、ある特定の種類の不正な RPC メッセージを送信することにより、この脆弱性を悪用しようとする可能性があります。ユーザーがそのようなメッセージを受信した場合、この脆弱性の影響を受けるコンピュータ上の RPCSS サービスが異常終了し、任意のコードが実行される可能性があります。
また、攻撃者はコンピュータに対話的にログオンする、またはこの脆弱性の影響を受けるコンポーネントにパラメータをローカル、またはリモートで渡す、同様のアプリケーションを悪用するなど、別の方法で該当のコンポーネントにアクセスする可能性もあります。
誰がこの脆弱性を悪用する可能性がありますか?
この脆弱性の影響を受けるコンピュータで RPCSS サービスに不正な RPC メッセージを送信することができる場合、誰でもこの脆弱性を悪用する可能性があります。RPCSS サービスは既定で、Windows のすべてのバージョンで有効となっています。これは基本的に、影響を受けるコンピュータとの接続を確立できるユーザーは誰でもこの脆弱性を悪用する可能性があるということを意味します。
更新プログラムは何を修正しますか?
この更新プログラムは、DCOM の実装に渡される情報が適切にチェックされるように変更し、この脆弱性を修正します。
回避策
この更新プログラムのテスト、または評価中にこの脆弱性の悪用を防ぐための回避策はありますか?
はい、あります。マイクロソフトは、すべてのお客様にこの更新プログラムをできるだけ早期に適用するように強く推奨しています。しかし、当座の間、この脆弱性の悪用を防ぐために適用することができる回避策がいくつかあります。この回避策により、すべての潜在的な攻撃の方法を防ぐ保障はありません。
これらの回避策は、この脆弱性を解決するというよりも、攻撃の方法を単純に防ぐための一時的な方法であるとお考えください。
| • | ファイアウォールにて UDP ポート 135、137、138、445 および TCP ポート 135、139、445、593 をブロックし、影響を受けるコンピュータ上でポート 80 および 443 をリッスンする COM インターネットサービス (CIS) および RPC over HTTP を無効に設定 :
これらのポートは、リモート コンピュータと RPC 接続を開始するために使用されます。これらのポートをファイアウォールでブロックし、ファイアウォールの背後のコンピュータにこの脆弱性が悪用される攻撃を防ぐことができます。リモート コンピュータ上に特別に構成した他の RPC ポートについても、ブロックする必要があります。CIS および RPC over HTTP が有効にされている場合、それにより TCP ポート 80 (および Windows XP および Windows Server 2003 上のポート 443) で、DCOM コールが行われる可能性があります。この脆弱性の影響を受ける可能性があるすべてのコンピュータ上で CIS および RPC over HTTP を必ず無効に設定してください。
CIS を無効に設定する方法に関する詳細は、マイクロソフト サポート技術情報の文書 825819 をご覧ください。
RPC over HTTP に関する詳細は、こちら (英語情報) をご覧ください。
注 : TCP/UDP 135 ポートをブロックした場合、Active Directory を利用した環境へ影響があります。詳細については以下のマイクロソフト サポート技術情報をご覧ください。
828189 : TCP/UDP 135 ポートをブロックした場合の Active Directory を利用した環境への影響 |
| • | インターネット接続ファイアウォールなどのパーソナルファイアウォールを使用し(Windows XP および Windows Server 2003 でのみ使用可能)影響を受けるコンピュータ(特に VPN などを使用してリモートで企業ネットワークに接続しているすべてのコンピュータ)上でポート 80 および 443 をリッスンする COM インターネットサービス (CIS) および RPC over HTTP を無効に設定
インターネット接続の保護のために Windows XP および Windows Server 2003 でインターネット接続ファイアウォールを使用している場合、既定でインターネットからの RPC トラフィック受信がブロックされます。この脆弱性の影響を受ける可能性があるすべてのコンピュータ上で CIS および RPC over HTTP を必ず無効に設定してください。 CIS を無効に設定する方法に関する詳細は、マイクロソフト サポート技術情報の文書 825819 をご覧ください。 RPC over HTTP に関する詳細は、こちら (英語情報) をご覧ください。 |
| • | IPSEC フィルタを使用した影響を受けるポートのブロックおよび、影響を受けるコンピュータ上で、ポート 80 および 443 をリッスンする COM インターネットサービス (CIS) および RPC over HTTP を無効に設定
Windows 2000 ベースのコンピュータでは、Internet Protocol Security (IPSec) を使用することでネットワーク コミュニケーションを安全に保てます。IPSec およびフィルタ適用の詳細は、マイクロソフト サポート技術情報の文書 313190 および 813878 をご覧ください。この脆弱性の影響を受ける可能性があるすべてのコンピュータ上で CIS および RPC over HTTP を必ず無効に設定してください。
CIS を無効に設定する方法に関する詳細は、マイクロソフト サポート技術情報の文書 825819 をご覧ください。 |
| • | 影響を受けるすべてのコンピュータで DCOM を無効に設定する
コンピュータがネットワークの一部である場合、DCOM ワイアー プロトコルによって、そのコンピュータ上の COM オブジェクトが他のコンピュータの COM オブジェクトと通信できるようになります。この脆弱性からコンピュータを保護するため、特定のコンピュータの DCOM を無効に設定することができます。しかし、その設定を行うことにより、そのコンピュータと他のコンピュータのオブジェクト間の通信がすべて無効になります。
リモート コンピュータで DCOM を無効に設定した場合、DCOM を再度有効にした後で、そのコンピュータにリモートでアクセスすることはできません。DCOM を再度有効にするためには、そのコンピュータにリモートからではなく、物理的にアクセスすることが必要となります。
DCOM を無効にする方法に関する情報は、マイクロソフト サポート技術情報の文書 825750 をご覧ください。
注 : Windows 2000 では、上記の方法は、Windows 2000 Service Pack 3 またはそれ以降のバージョンを実行している場合にのみ有効となります。Service Pack 2 またはそれ以前のバージョンを使用しているお客様は、Service Pack 3 またはそれ以降のバージョンにアップグレードをするか、そのほかの回避策を取る必要があります。 |
このマークの付いている更新プログラムは Microsoft Update からインストールすることもできます。