MSDTC および COM+ の脆弱性により、リモートでコードが実行される (902400) (MS05-051)

Windows XP Service Pack 2 および Windows Server 2003 Service Pack 1 のコンピュータはこの問題の影響を受けません。

Windows Server 2003 では、Microsoft Distributed Transaction Coordinator が既定で起動されますが、ネットワーク DTC アクセスをサポートするように構成されていません。この脆弱性が悪用されるには、有効なログオン資格情報を所持し、ローカルでログオンできることが攻撃者にとっての必要条件となります。しかし、管理者がネットワーク DTC アクセスのサポートを有効にした場合、Windows Server 2003 のコンピュータは匿名のユーザーによるリモート実行の攻撃の影響を受ける場合があります。ネットワーク DTC アクセスの設定に関する情報は、Microsoft Web サイト (英語情報) をご覧ください。

Windows XP Service Pack 1 上および、Windows 2000 Professional 上では、既定でマイクロソフトの Distributed Transaction Coordinator は起動しません。このサービスはリモートの攻撃ベクタを有効にするために、実行されなければなりません。この脆弱性が悪用されるには、有効なログオン資格情報を所持し、ローカルでログオンできることが攻撃者にとっての必要条件となります。しかし、管理者がこのサービスを無効にしない限り、すべてのローカルのユーザーはこのサービスを実行することが可能です。サービスが始まるとすぐに、Windows XP Service Pack 1 のコンピュータは、匿名のユーザーによるリモート コードの実行の攻撃に対して影響を受ける場合があります。それは、Windows XP Service Pack 1 のコンピュータ上で、Microsoft Distributed Transaction Coordinator のサービスがネットワーク DTC アクセスを行なえる様に設定されているからです。DTC アクセスの設定に関する情報は、Microsoft Web サイト (英語情報) をご覧ください。

影響を受けるコンポーネントを必要とするお客様については、ファイアウォールによる最善策および標準のファイアウォールの既定の構成により、ネットワーク境界の外部から行われる攻撃からネットワークを保護することができます。インターネットに接続したコンピュータでは、最低限の数のポートを開くようにすることが最善策として推奨されます。

Distributed Transaction Coordinator を無効にする

Distributed Transaction Coordinator を無効にすることにより、影響を受けるコンピュータを脆弱性の悪用から守る手助けとなります。Distributed Transaction Coordinator を無効にするためには、次のステップを行なってください。

次のコマンドをコマンド プロンプトで実行することにより、Distributed Transaction Coordinator を停止および無効にすることもできます。

sc stop MSDTC & sc config MSDTC start= disabled

回避策の影響: Distributed Transaction Coordinator を無効にした場合、Distributed Transaction Coordinator に依存しているすべてのサービスおよびアプリケーションを使用することができません。これには、SQL Server、BizTalk Server、Exchange Server のインストール、または Message Queuing のサービスなど、ほかのアプリケーションが含まれます。また、このサービスはほとんどのクラスタリングの構成に必要です。そのため、この回避策は、セキュリティ更新プログラムをインストールできないコンピュータに関してのみに推奨します。

グループポリシー設定を使用して、この機能を必要としない該当のすべてのコンピュータ上で、Distributed Transaction Coordinator を無効に設定する

Distributed Transaction Coordinator は攻撃の手段となる可能性があるため、グループ ポリシー設定で無効に設定します。このサービスのスタートアップは、Windows 2000 または Windows Server 2003 のドメイン環境のグループ ポリシー オブジェクト機能を使用して、ローカル、サイト、ドメイン、または組織単位レベルのいずれかで無効に設定することができます。ログオン スクリプトによってこのザービスを無効にする方法に関する詳細は、297789 をご覧ください。

注:Windows 2000 Security Hardening Guide (英語情報) も参考にすることができます。このガイドには、サービスを無効にする方法に関する説明が記載されています。グループ ポリシーの詳細については、次のサイトを参照してください。

Step-by-Step Guide to Understanding the Group Policy Feature Set (英語情報）
Windows 2000 グループ ポリシー
Group Policy in Windows Server 2003 (英語情報）

回避策の影響: Distributed Transaction Coordinator を無効にした場合、Distributed Transaction Coordinator に依存しているすべてのサービスおよびアプリケーションを使用することができません。これには、SQL Server、BizTalk Server、Exchange Server のインストール、またはメッセージ キューのサービスなどの、ほかのアプリケーションが含まれます。また、このサービスはほとんどのクラスタリングの構成に必要です。そのため、この回避策は、セキュリティ更新プログラムをインストールできないコンピュータに関してのみに推奨します。

ネットワーク DTC アクセスを無効にする

セキュリティ更新プログラムをインストールできず、Distributed Transaction Coordinator を無効にできない場合は、ネットワーク DTC アクセスを無効にして影響を緩和できるか確認できます。この選択は、Windows XP およびそれ以降のオペレーティング システムのバージョンにおいてのみ利用可能です。依然として、ローカルのトランザクションを完了させられますが、この問題を悪用しようと試みるネットワーク ベースの攻撃を防ぐ手助けとなります。ネットワーク DTC アクセスの設定に関する情報は、Microsoft Web サイト (英語情報) をご覧ください。ネットワーク DTC アクセスを無効にするには、次のステップに従って下さい。

HKLM\Software\Microsoft\MSDTC\Security\NetworkDtcAccess

ファイアウォールにより、以下のポートをブロックする

これらのポートは、MSDTC との接続を開始するために使用されることができます。ファイアウォールでこれらのポートをブロックすると、ファイアウォールの背後のコンピュータを、この脆弱性を悪用した攻撃から保護することができます。また、リモート コンピュータで、特別に構成されている別の RPC ポートがブロックされていることを確認して下さい。そのほかのポートを悪用する可能性のある攻撃を防ぐため、すべてのインターネットからの受信者側が送信を要求していない受信通信をブロックすることを推奨します。RPC はUDP ポート 135、137、138、445、および TCP ポート、135、139、445、593 を使用できますが、MSDTC のサービスはこれらのポート上で影響を受けません。

注: Sequenced Packet Exchange (SPX) または NetBEUI のようなほかのプロトコルは、MSDTC のサービスとの通信に使用可能です。これらのプロトコルを使用している場合、適切なポートをブロックしてください。IPX/SPX に関する詳細情報は、次の Web サイト （英語情報） をご覧下さい。

ネットワークベースでのこの脆弱性の悪用を防ぐ手助けのために、Windows XP および Windows Server 2003 に含まれるインターネット接続ファイアウォールなどの個人用ファイアウォールを使用する

既定で、Windows XP および Windows Server 2003 のインターネット接続ファイアウォール機能は、受信側が送信を要求していない受信トラフィックをブロックすることにより、インターネット接続を保護する手助けとなります。受信者側が要求していないすべてのインターネットからの受信通信をブロックすることを推奨します。

インターネット接続ファイアウォール機能をネットワーク セットアップ ウィザードを使用して有効にするためには、次のステップに従ってください。

注: ファイアウォールを通過する特定のプログラムおよびサービスの使用を有効にする必要がある場合、[詳細設定] タブの [設定] をクリックし、次に必要なプログラム、プロトコル、サービスを選択します。

ネットワークベースでこの脆弱性が悪用されることを防ぐために、この機能をサポートするコンピュータ上の高度な TCP/IP フィルタリングを有効にします。

高度な TCP/IP フィルタリングを有効にし、受信者側が送信を要求していないすべての受信トラフィックをブロックすることができます。TCP/IP フィルタリングの構成方法に関する詳細は、サポート技術情報 309798 をご覧ください。

ネットワークベースでこの脆弱性が悪用されることを防ぐ手助けとなるために、影響を受けるコンピュータ上の IPsec を使用して影響を受けるポートをブロックします。

Internet Protocol Security (IPsec) を使用し、ネットワーク通信を保護します。IPsec およびフィルタの適用方法に関する詳細は、サポート技術情報313190 および813878 をご覧ください。RPC は幅広いポートを使用します。これにより、IPsec を使用することによりすべてをセキュアにすることが難しくなる場合があります。マイクロソフト サポート技術情報 908472 では、固定されたポートに RPC の通信を制限する方法、そして IPsec を使用してこれらのポートをセキュアにする方法が述べられています。

エンタープライズのコンピューティングの経費削減 - この DTC により、ネットワークで接続されたクライアントおよびサーバーを使用しているユーザーに、洗練されていて、低コストな分散トランザクションの機能を提供します。

アプリケーション開発の簡素化 - DTC のトランザクションは、アプリケーションのデータを更新する際に起こりがちな問題に対しても、一貫性を確保するアプリケーションの作成を大幅に簡素化します。

一貫性のあるトランザクション モデルの提供 - この DTC は、さまざまなリソース マネージャをサポートします。それには、リレーショナル データベース、オブジェクト指向データベース、ファイル システム、文書保存システムおよびメッセージ キューが含まれます。

分散化されたソフトウェアのコンポーネントを使用したソフトウェア開発 - この DTC は、トランザクションの開始および管理のために、容易で、オブジェクト指向なアプリケーション プログラミングのインターフェイスを提供します。

Windows XP Service Pack 2、Windows Server 2003、および Windows Server 2003 Service Pack 1 では、攻撃者が有効なログイン資格情報を得て、ローカルでログオンし、この脆弱性を悪用する可能性があります。攻撃者が管理者の許可を入手していた場合、この脆弱性はリモートで悪用される可能性があります。

ファイアウォールによる最善策および標準のファイアウォールの既定の構成により、ネットワーク境界の外部から行われる攻撃からネットワークを保護することができます。インターネットに接続したコンピュータでは、最低限の数のポートを開くようにすることが最善策として推奨されます。

COM+ を無効にする

COM+ を無効にすることにより、影響を受けるコンピュータを脆弱性の悪用から守る手助けとなります。使用しているプラットフォームにより、COM+ を無効にする方法が異なります。

重要: このセキュリティ情報にはレジストリを変更する方法に関する情報が含まれています。マイクロソフトはレジストリの変更を行う前に、そのバックアップを行うことを推奨します。問題が起きた場合に、レジストリを復元する方法を理解していることを確認してください。レジストリのバックアップ、復元および変更の方法に関する詳細情報は、マイクロソフト サポート技術情報 256986 をご覧ください。

警告: レジストリ エディタまたは別の方法を使用してレジストリを誤って変更した場合、深刻な問題が起こる可能性があります。これらの問題により、オペレーティング システムの再インストールが必要な場合があります。マイクロソフトはこれらの問題が解決されることを保証できかねます。レジストリ エディタは、お客様各自の責任において使用して下さい。

echo "Workaround for KB902400" > %windir%\system32\~clbcatq.dll

HKEY_LOCAL_MACHINE\Software\Microsoft\COM3

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\COM3]
"Com+Enabled"=dword:00000000

ファイアウォールにより、以下のポートをブロックする

これらのポートは、RPC との接続を開始するために使用されます。ファイアウォールでこれらのポートをブロックすると、ファイアウォールの背後のコンピュータを、この脆弱性を悪用した攻撃から保護することができます。また、リモート コンピュータで、特別に構成されている別の RPC ポートがブロックされていることを確認して下さい。そのほかのポートを悪用する可能性のある攻撃を防ぐため、すべてのインターネットからの受信者側が送信を要求していない受信通信をブロックすることを推奨します。RPC が使用するポートに関する詳細は、次の Web サイト（英語情報） をご覧ください。「CISを無効にする方法」の関連情報を参照するには、サポート技術情報 825819をご覧ください。

注: Sequenced Packet Exchange (SPX) または NetBEUI のようなほかのプロトコルは、MSDTC のサービスとの通信に使用可能です。これらのプロトコルを使用している場合、適切なポートをブロックしてください。IPX/SPX に関する詳細情報は、次の Web サイト （英語情報） をご覧下さい。

DCOM を無効にする

COM+ を無効にすることにより、影響を受けるコンピュータを脆弱性の悪用から守る手助けとなります。しかし、影響を受けるコンピュータは依然として脆弱性を悪用しようとするローカルでの特権の昇格による攻撃の影響を受ける可能性があります。DCOM を無効にする方法に関しては、マイクロソフト サポート技術情報 825750 をご覧ください。

マイクロソフト サポート技術情報 825750 に記載されたステップの代わりとして、管理者としてローカルでログインしている際に、以下のテキストを .REG ファイルに貼り付け、ファイルをダブルクリックして実行することもできます。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]"EnableDCOM"="N"

注: また、この設定はグループ ポリシーを使用して複数のコンピュータの設定に適用可能です。グループ ポリシーに関する詳細は、次の Web サイトをご覧下さい。

回避策の影響: DCOM を無効にした場合、すべての DCOM に依存したアプリケーションを使用することはできません。お客様は、すべての業務上重要なアプリケーションが DCOM のサービスに依存しているかどうかを、これらの回避策を適用する前に、確認してください。これらは、多くの搭載されたコンポーネントおよび DCOM を無効にした際に、影響を受けるサードパーティのアプリケーションである場合があります。マイクロソフトは、お客様の環境において、どのアプリケーションが影響を受けるかを確認するためのテストが行なわれるまで、DCOM を無効にしないことを推奨いたします。すべての環境でDCOM を無効にすることはできない場合があります。従って、この回避策は、セキュリティ更新プログラムをインストールできないコンピュータに関してのみに推奨されます。DCOM の無効に関する情報は、サポート技術情報 825750 をご覧ください。

これは、サービス拒否の脆弱性です。この問題で、攻撃者により、コードが実行されたり、ユーザーの権限が昇格されることはないと思われますが、影響を受けるサービスがリクエストの受諾を停止する可能性があります。

Windows XP Service Pack 1、Windows XP Service Pack 2、Windows Server 2003 および Windows Server 2003 Service Pack 1 では、Microsoft Distributed Transaction Coordinator が起動していたとしても、TIP プロトコルは有効にされません。管理者が、手動で TIP プロトコルを有効にした場合に、Distributed Transaction Coordinator がこの問題に対して影響を受ける可能性があります。

Microsoft Distributed Transaction Coordinator が攻撃により応答を停止した場合、Microsoft Distributed Transaction Coordinator に依存していないサービスの機能は通常通りに継続します。

影響を受けるコンポーネントを必要とするお客様については、ファイアウォールによる最善策および標準のファイアウォールの既定の構成により、ネットワーク境界の外部から行われる攻撃からネットワークを保護することができます。インターネットに接続したコンピュータでは、最低限の数のポートを開くようにすることが最善策として推奨されます。

Distributed Transaction Coordinator を無効にする

Distributed Transaction Coordinator を無効にすることにより、影響を受けるコンピュータを脆弱性の悪用から守る手助けとなります。Distributed Transaction Coordinator を無効にするためには、次のステップを行なってください。

次のコマンドをコマンド プロンプトで実行することにより、Distributed Transaction Coordinator を停止および無効にすることもできます。

sc stop MSDTC & sc config MSDTC start= disabled

回避策の影響: Distributed Transaction Coordinator を無効にした場合、Distributed Transaction Coordinator に依存しているすべてのサービスおよびアプリケーションを使用することができません。これには、SQL Server、BizTalk Server、Exchange Server のインストール、または Message Queuing のサービスなど、ほかのアプリケーションが含まれます。また、このサービスはほとんどのクラスタリングの構成に必要です。そのため、この回避策は、セキュリティ更新プログラムをインストールできないコンピュータに関してのみに推奨します。

グループポリシー設定を使用して、この機能を必要としない該当のすべてのコンピュータ上で、Distributed Transaction Coordinator を無効に設定する

Distributed Transaction Coordinator は攻撃の手段となる可能性があるため、グループ ポリシー設定で無効に設定します。このサービスのスタートアップは、Windows 2000 または Windows Server 2003 のドメイン環境のグループ ポリシー オブジェクト機能を使用して、ローカル、サイト、ドメイン、または組織単位レベルのいずれかで無効に設定することができます。ログオン スクリプトによってこのザービスを無効にする方法に関する詳細は、297789 をご覧ください。

注:Windows 2000 Security Hardening Guide (英語情報) も参考にすることができます。このガイドには、サービスを無効にする方法に関する説明が記載されています。グループ ポリシーの詳細については、次のサイトを参照してください。

Step-by-Step Guide to Understanding the Group Policy Feature Set (英語情報）
Windows 2000 グループ ポリシー
Group Policy in Windows Server 2003 (英語情報）

回避策の影響: Distributed Transaction Coordinator を無効にした場合、Distributed Transaction Coordinator に依存しているすべてのサービスおよびアプリケーションを使用することができません。これには、SQL Server、BizTalk Server、Exchange Server のインストール、またはメッセージ キューのサービスなどの、ほかのアプリケーションが含まれます。また、このサービスはほとんどのクラスタリングの構成に必要です。そのため、この回避策は、セキュリティ更新プログラムをインストールできないコンピュータに関してのみに推奨します。

ファイアウォールで TCP ポート 3372 をブロックする

このポートは、TIP との接続を開始するために使用されます。ファイアウォールでこのポートをブロックすると、ファイアウォールの背後のコンピュータを、この脆弱性を悪用した攻撃から保護することができます。また、リモート コンピュータでそのほかの特に構成されている TIP ポートがブロックされていることを確認して下さい。そのほかのポートを悪用する可能性のある攻撃を防ぐため、すべてのインターネットからの受信者側が送信を要求していない受信通信をブロックすることを推奨します。

ネットワークベースでこの脆弱性が悪用されることを防ぐために、高度な TCP/IP フィルタリングをサポートするコンピュータ上でその機能を有効にする

高度な TCP/IP フィルタリングを有効にし、受信者側が送信を要求していないすべての受信トラフィックをブロックすることができます。TCP/IP フィルタリングの構成方法に関する詳細は、マイクロソフト サポート技術情報 309798 をご覧ください。

ネットワークベースでこの脆弱性が悪用されることを防ぐために、コンピュータ上の IPSec を使用して影響のあるポートを防御する

Internet Protocol Security (IPSec) を使用し、ネットワーク通信を保護します。IPSec およびフィルタの適用方法に関する詳細は、マイクロソフト サポート技術情報 313190 および 813878 をご覧ください。

エンタープライズのコンピューティングの経費削減 - この DTC により、ネットワークで接続されたクライアントおよびサーバーを使用しているユーザーに、洗練されていて、低コストな分散トランザクションの機能を提供します。

アプリケーション開発の簡素化 - DTC のトランザクションは、アプリケーションのデータを更新する際に起こりがちな問題に対しても、一貫性を確保するアプリケーションの作成を大幅に簡素化します。

一貫性のあるトランザクション モデルの提供 - この DTC は、さまざまなリソース マネージャをサポートします。それには、リレーショナル データベース、オブジェクト指向のデータベース、ファイル システム、文書保存システムおよびメッセージ キューが含まれます。

分散化されたソフトウェアのコンポーネントを使用したソフトウェア開発 - この DTC は、トランザクションの開始および管理のために、容易で、オブジェクト指向なアプリケーション プログラミングのインターフェイスを提供します。

これは、サービス拒否の脆弱性です。この問題で、攻撃者により、コードが実行されたり、ユーザーの権限が昇格されることはないと思われますが、影響を受けるサービスがリクエストの受諾を停止する可能性があります。

Windows XP Service Pack 1、Windows XP Service Pack 2、Windows Server 2003 および Windows Server 2003 Service Pack 1 では、Microsoft Distributed Transaction Coordinator が起動していたとしても、TIP プロトコルは有効にされません。管理者が、手動で TIP プロトコルを有効にした場合に、Distributed Transaction Coordinator がこの問題に対して影響を受ける可能性があります。

Microsoft Distributed Transaction Coordinator が攻撃により応答を停止した場合、Microsoft Distributed Transaction Coordinator に依存していないサービスの機能は通常通りに継続します。

影響を受けるコンポーネントを必要とするお客様については、ファイアウォールによる最善策および標準のファイアウォールの既定の構成により、ネットワーク境界の外部から行われる攻撃からネットワークを保護することができます。インターネットに接続したコンピュータでは、最低限の数のポートを開くようにすることが最善策として推奨されます。

Distributed Transaction Coordinator を無効にする

Distributed Transaction Coordinator を無効にすることにより、影響を受けるコンピュータを脆弱性の悪用から守る手助けとなります。Distributed Transaction Coordinator を無効にするためには、次のステップを行なってください。

次のコマンドをコマンド プロンプトで実行することにより、Distributed Transaction Coordinator を停止および無効にすることもできます。

sc stop MSDTC & sc config MSDTC start= disabled

回避策の影響: Distributed Transaction Coordinator を無効にした場合、Distributed Transaction Coordinator に依存しているすべてのサービスおよびアプリケーションを使用することができません。これには、SQL Server、BizTalk Server、Exchange Server のインストール、または Message Queuing のサービスなど、ほかのアプリケーションが含まれます。また、このサービスはほとんどのクラスタリングの構成に必要です。そのため、この回避策は、セキュリティ更新プログラムをインストールできないコンピュータに関してのみに推奨します。

グループポリシー設定を使用して、この機能を必要としない該当のすべてのコンピュータ上で、Distributed Transaction Coordinator を無効に設定する

Distributed Transaction Coordinator は攻撃の手段となる可能性があるため、グループ ポリシー設定で無効に設定します。このサービスのスタートアップは、Windows 2000 または Windows Server 2003 のドメイン環境のグループ ポリシー オブジェクト機能を使用して、ローカル、サイト、ドメイン、または組織単位レベルのいずれかで無効に設定することができます。ログオン スクリプトによってこのザービスを無効にする方法に関する詳細は、297789 をご覧ください。

注:Windows 2000 Security Hardening Guide (英語情報) も参考にすることができます。このガイドには、サービスを無効にする方法に関する説明が記載されています。グループ ポリシーの詳細については、次のサイトを参照してください。

Step-by-Step Guide to Understanding the Group Policy Feature Set (英語情報）
Windows 2000 グループ ポリシー
Group Policy in Windows Server 2003 (英語情報）

回避策の影響: Distributed Transaction Coordinator を無効にした場合、Distributed Transaction Coordinator に依存しているすべてのサービスおよびアプリケーションを使用することができません。これには、SQL Server、BizTalk Server、Exchange Server のインストール、またはメッセージ キューのサービスなどの、ほかのアプリケーションが含まれます。また、このサービスはほとんどのクラスタリングの構成に必要です。そのため、この回避策は、セキュリティ更新プログラムをインストールできないコンピュータに関してのみに推奨します。

ファイアウォールで TCP ポート 3372 をブロックする

このポートは、TIP との接続を開始するために使用されます。ファイアウォールでこのポートをブロックすると、ファイアウォールの背後のコンピュータを、この脆弱性を悪用した攻撃から保護することができます。また、リモート コンピュータでそのほかの特に構成されている TIP ポートがブロックされていることを確認して下さい。そのほかのポートを悪用する可能性のある攻撃を防ぐため、すべてのインターネットからの受信者側が送信を要求していない受信通信をブロックすることを推奨します。

ネットワークベースでこの脆弱性が悪用されることを防ぐために、高度な TCP/IP フィルタリングをサポートするコンピュータ上でその機能を有効にする

高度な TCP/IP フィルタリングを有効にし、受信者側が送信を要求していないすべての受信トラフィックをブロックすることができます。TCP/IP フィルタリングの構成方法に関する詳細は、マイクロソフト サポート技術情報 309798 をご覧ください。

ネットワークベースでこの脆弱性が悪用されることを防ぐために、コンピュータ上の IPSec を使用して影響のあるポートを防御する

Internet Protocol Security (IPSec) を使用し、ネットワーク通信を保護します。IPSec およびフィルタの適用方法に関する詳細は、マイクロソフト サポート技術情報 313190 および 813878 をご覧ください。

エンタープライズのコンピューティングの経費削減 - この DTC により、ネットワークで接続されたクライアントおよびサーバーを使用しているユーザーに、洗練されていて、低コストな分散トランザクションの機能を提供します。

アプリケーション開発の簡素化 - DTC のトランザクションは、アプリケーションのデータを更新する際に起こりがちな問題に対しても、一貫性を確保するアプリケーションの作成を大幅に簡素化します。

一貫性のあるトランザクション モデルの提供 - この DTC は、さまざまなリソース マネージャをサポートします。それには、リレーショナル データベース、オブジェクト指向のデータベース、ファイル システム、文書保存システムおよびメッセージ キューが含まれます。

分散化されたソフトウェアのコンポーネントを使用したソフトウェア開発 - この DTC は、トランザクションの開始および管理のために、容易で、オブジェクト指向なアプリケーション プログラミングのインターフェイスを提供します。