JSOC緊急レポート（システム管理者向け）- RPCSS サービスのバッファ オーバーラン（MS03-039）-

Microsoft Windows OSに存在する「RPCSSサービスのバッファ オーバーランによりコードが実行される（MS03-039）」の脆弱性に関する影響、および対策をまとめたシステム管理者向けのレポートです。

 

株式会社ラック
公開日：2003年 9月11日 18:30
最終更新日：2003年 9月11日 20:15

 

JSOC緊急レポート（システム管理者向け）
- RPCSSサービスのバッファ オーバーラン（MS03-039） -

 

 

1. 概要

DCOMのアクティブ化のための RPC メッセージの送受信を処理するRPCSSサービスに新たに複数の問題が発見されました。これらの問題を利用することにより、攻撃者に任意のコードを実行される可能性があります。また、Windows 2000においては、サービス不能攻撃を行われる怖れがあります。

本問題は Blaster ワームおよびその亜種により悪用されたRPCを使用するDCOMインターフェースに存在する問題（MS03-026）とは異なります。現在、攻撃ツールの公開やワームが出現したという情報の入手、およびその兆候をJSOCが捉えたという事実はありません。

本問題に対して、2003年9月11日にMicrosoft社より修正プログラムが公開されております。対策を実施していないコンピュータは、直ちに対策を施すことをお勧め致します。

 

2. 影響を受けるソフトウェア

• Microsoft Windows NT Workstation 4.0 
• Microsoft Windows NT Server 4.0 
• Microsoft Windows NT Server 4.0, Terminal Server Edition 
• Microsoft Windows 2000 
• Microsoft Windows XP 
• Microsoft Windows Server 2003 

 

3. 見解

JSOCにおいて本問題を利用した攻撃に必要な詳細情報は現時点では確認できておりませんが、MS03-026を利用する攻撃コードが問題の公開されてから、8日後に発見されたことを踏まえると、本問題に対する攻撃コードの公開も比較的早いと考えられます。Blasterワームでその影響力が証明された今、愉快犯的な攻撃ではなく、特定の目的をもつ確信犯による攻撃が行われる可能性が高いです。

JSOC ではWelchiaワームの活動がおさまっていないことが観測できており、いまだMS03-026に対する修正プログラムが適用されておらず、放置状態にあると考えられます。システム管理者は以下の点に留意し、対策を実施してください。

 

■社員への通知の徹底

→ E-mailや電子掲示板などのネットワークを利用した通知だけでなく、紙面による通知などの検討もお勧めします。

 

■管理者不在のコンピュータがないかの確認

→ IPは特定できてもどこにあるのか、誰が対応できるのかといった事項が不明なコンピュータが攻撃を受ける可能性があります。

 

本問題を悪用した攻撃ツールの公開およびワームの発生が確認される前に対策を実施することにより、発生しうるリスクの軽減につながります。

なお、Blasterワームにおいては、感染したノートPCの持込み（ダイヤルアップまたはVPN経由など）による感染拡大が多く報告されています。インシデントが発生する前にセキュリティポリシーの面からの対策も検討することをお勧めします。

 

4. 対策

<< 個々のパソコンへの対策 >>

 個々のパソコンへの対策は以下の3通りの方法があります。

 

1）Windows Update を利用して修正プログラムをインストールする

長所：
操作が比較的容易です。
画面操作により過去に公開された修正プログラムを同時にインストールすることも可能です。

短所：混雑時はつながりにくくなります。

 

2）修正プログラムを単体でダウンロードしてインストールする

長所：Windows Updateより短時間で対策できます。

短所：Windows Updateと比較すると操作が難しくなります。過去に公開された脆弱性に対する対策にはなりません。

 

3）攻撃を受ける可能性のある機能を停止する

長所：プログラムのダウンロードを行うことなく対策可能です。

短所：一部の機能が使用できなくなります。脆弱性そのものが解消されるわけではありません。

 

< 方法1 > windows update を利用して修正プログラムをインストールする

以下のURLにアクセスし、画面の指示に従って操作をしてください。
http://windowsupdate.microsoft.com/

< 方法2 > 修正プログラムを単体でダウンロードしてインストールする

マイクロソフト社のホームページにおいてこの脆弱性を解消するためのプログラムが公開されています。お使いのWindowsに対するプログラムをダウンロードしてインストールすることで、この脆弱性を解消することができます。

（1）お使いのWindowsはどの種類ですか？

（2）お使いのWindowsにはSPがインストールされていますか？

 

 ※SP（Service Pack）とは過去に公開された修正プログラムがまとめられ、公開されるもので、新しいSPが公開されるごとにSP1、SP2、SP3、SP4など数字が大きくなります。

SPのインストールの有無は以下の操作で確認できます。

（a）デスクトップのアイコン[マイコンピュータ]を右クリックします

（b）表示されたショートカットメニューの[プロパティ]をクリック

（c）[全般]のタブをクリックし、Service Packの後ろの数字を確認してください。

（ServicePackの記述がない場合、サービスパックはインストールされていません。）

 

（3）下記の修正プログラムの中から、お使いのWindowsと同じ種類のものを探します。

各URLの下に『SP[数字]の環境にインストールすることができます。』と記述されている場合、お使いのパソコンにSPがインストールされている必要があります。

※必要なSPがインストールされていない場合、修正プログラムをインストールする前にSPをインストールする必要があります。

 

 (4) 該当する修正プログラムをダウンロードし、画面の指示に従って、インストールしてください。

• Microsoft Windows XP -32 bit Edition (WU)
  http://download.microsoft.com/download/c/9/3/c93838c2-2d8a-4b43-9a32-4846b5e950dc/WindowsXP-KB824146-x86-JPN.exe
   
• Microsoft Windows XP -64 bit Edition (WU)
  http://download.microsoft.com/download/3/b/3/3b3aad9e-809f-4782-91b5-c6872d050f16/WindowsXP-KB824146-ia64-JPN.exe
  
   ※ これらの修正プログラムはWindows XPまたはWindows XP SP1の環境にインストールすることができます。
   
• Microsoft Windows 2000 -PC/AT 互換機 (WU)
  http://download.microsoft.com/download/C/9/1/C9118574-50CD-48F7-B1CE-215428628BC6/Windows2000-KB824146-x86-JPN.exe
   
• Microsoft Windows 2000 -NEC PC-9800シリーズ (WU)
  http://download.microsoft.com/download/B/4/8/B48A6969-76B4-49D1-9B4E-9EFB7A34E318/Windows2000-KB824146-nec98-JPN.exe
  
  ※ これらの修正プログラムはWindows 2000 SP2、Windows 2000 SP3または Windows2000 SP4の環境にインストールすることができます。
   
• Microsoft Windows NT Workstation 4.0 -PC/AT 互換機 (WU)
  http://download.microsoft.com/download/f/5/f/f5fa8b84-df16-4b10-9f58-6d7c758b8dd8/WindowsNT4Workstation-KB824146-x86-JPN.EXE
   
• Microsoft Windows NT Workstation 4.0 - NEC PC-9800シリーズ (WU)
  http://download.microsoft.com/download/D/3/8/D384C1D5-3B8A-477C-B46D-7638DFD3DB9E/WindowsNT4Workstation-KB824146-NEC98-JPN.EXE
  
  ※ これらの修正プログラムは Windows NT Workstation 4.0 SP6a の環境にインストールすることができます。 
   
• Microsoft Windows NT Server 4.0 -PC/AT 互換機 (WU)
  http://download.microsoft.com/download/7/0/7/70759c24-2b31-41ca-8ca8-f91200bd0169/WindowsNT4Server-KB824146-x86-JPN.EXE
   
• Microsoft Windows NT Server 4.0  -NEC PC-9800シリーズ (WU)
  http://download.microsoft.com/download/5/B/8/5B85CEC5-F58B-4FA7-B938-672A7D90D3D6/WindowsNT4Server-KB824146-NEC98-JPN.EXE
  
  ※ これらの修正プログラムは Windows NT Server 4.0 SP6aの環境にインストールすることができます。
   
• Microsoft Windows NT Server 4.0, Terminal Server Edition -PC/AT 互換機 
  http://download.microsoft.com/download/e/3/b/e3bc6fc0-2369-43d3-9076-7279e3a46e05/WindowsNT4TerminalServer-KB824146-x86-JPN.EXE
  
  ※ この修正プログラムは Windows NT Server 4.0 Terminal Server Edition SP6の環境にインストールすることができます。
   
• Microsoft Windows Server 2003 -32 bit Edition (WU)
  http://download.microsoft.com/download/c/7/5/c758c5bb-0fe2-4090-8d21-a5fe8a8cf727/WindowsServer2003-KB824146-x86-JPN.exe
   
• Microsoft Windows Server 2003 -64 bit Edition (WU)
  http://download.microsoft.com/download/8/f/c/8fc54a30-2cd0-415a-963d-005655d37de2/WindowsServer2003-KB824146-ia64-JPN.exe
  
  ※ これら修正プログラムは Windows Server 2003 の環境にインストールすることができます。  

 < 方法3> 攻撃を受ける可能性のある機能を停止する

 この機能を停止する事で、ネットワークを介して接続された他のコンピュータと通信ができなくなりアプリケーションが正常に動作しなくなる可能性があります。（ex.プリンタやファイルの共有など）

 

【Windosw XP の場合】

1. デスクトップ（タスクバー）の[スタート]をクリックします
2. メニューから[ファイル名を指定して実行]をクリックします。
3. 表示されたウインドウの[名前]の欄にdcomcnfg.exeと入力し[OK]をクリックしてください。（『コンポーネントサービス』ウインドウが表示されます。）
4. 左ペイン（2 分割されたウインドウの左側）の[コンポーネントサービス] - [コンピュータ]をそれぞれクリックします。
5. [マイコンピュータ]を右クリックし、表示されたショートカットメニューのプロパティをクリックします。（『マイコンピュータのプロパティ』ウインドウが表示されます。）
6. [規定のプロパティ]タブをクリックしてください。
7. 表示された画面の、[このコンピュータ上で分散COMを有効にする]のチェックボックスからチェックを外してください。
8. [OK]をクリックし設定に使用したウインドウを閉じます。
9. 再起動すると設定が有効になります。

 

 

【Windows NT 4.0およびWindows 2000の場合】

1. デスクトップ（タスクバー）の[スタート]をクリックします
2. メニューから[ファイル名を指定して実行]をクリックします。
3. 表示されたウインドウの[名前]の欄に dcomcnfg.exe と入力し[OK]をクリックしてください（『分散 COM 構成のプロパティ』ウインドウが表示されます。）
4. [規定のプロパティ]タブをクリックしてください。
5. 表示された画面の、[このコンピュータ上で分散COMを有効にする]のチェックボックスからチェックを外してください。
6. [OK]をクリックします。
7. 再起動すると設定が有効になります。

 

<< ファイアウォールまたはルータによる対策 >>

インターネットへの接続をファイアウォールまたはブロードバンドルータを利用して行っている場合、外部から内部への以下のポートに対する通信を遮断することで影響を緩和することができます。

• 135/udp
• 137/udp
• 138/udp
• 445/udp

• 135/tcp
• 139/tcp
• 445/tcp
• 593/tcp

 

5. 詳細情報

この脆弱性に関するマイクロソフト社からの情報は以下のURLで公開されています。

詳細情報（日本語版）

MS03-039: RPCSS サービスのバッファ オーバーランによりコードが実行される（824146）
http://www.microsoft.com/japan/technet/security/bulletin/MS03-039.asp

詳細情報（英語版）

MS03-039: Buffer Overrun In RPCSS Service Could Allow Code Execution （824146） 
http://www.microsoft.com/technet/security/bulletin/MS03-039.asp