ユーティリティ・マネージャがアプリケーションを起動する方法に脆弱性が存在する。ユーティリティ・マネージャが特別な細工をしたメッセージを受け取ると、ログオン・ユーザーに対してローカル・システム・アカウントでのアプリケーション起動や、ユーザー・アカウントの追加などを許してしまう。ほかの脆弱性への攻撃と合わせることでワームなどに悪用される危険性もあるので注意したい。

　マイクロソフトにより修正プログラムの提供が開始されたことから、この脆弱性をマイクロソフトに報告したセキュリティ・ソフトウェア・ベンダのApplication Securityが脆弱性の詳細と実証コードを公開した。この実証コードが悪用された攻撃が開始される危険性があるので、なるべく早く修正プログラムの適用を開始したい。

・Application Security（Microsoft Windows Utility Manager Vulnerability）：
http://www.appsecinc.com/resources/alerts/general/04-0001.html

　ユーティリティ・マネージャが、メッセージによってアプリケーション（winhlp32.exe）を起動するプロセスに脆弱性が存在する。ログオンしているユーザーが、起動したwinhlp32.exeにメッセージを送ることで、不正な権限の昇格が起こる。具体的には、ローカル・システム・アカウントによるプログラムの実行が可能になる。この脆弱性が悪用されると、ローカル・システム・アカウントが奪われるため、プログラムのインストール、データの表示／変更／削除、完全な特権を持つ新規のアカウントの作成などが実行され、コンピュータの制御が完全に奪われる危険がある。

■適用テストの結果
　DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。

■MS04-011の「ユーティリティ マネージャの脆弱性」との関連
　「TechNetセキュリティ情報：MS04-011」にもユーティリティ・マネージャの脆弱性が含まれている。脆弱性の内容を読むと、MS04-011とMS04-019はほぼ同じであることが分かる。ただ、脆弱性識別番号がMS04-011の「CAN-2003-0908」に対して、MS04-019が「CAN-2004-0213」と異なっており、マイクロソフトの「よく寄せられる質問」でも「MS04-011で扱っている脆弱性とは異なる新たな脆弱性」であると述べられている。このことから、この2つの脆弱性は、ほぼ同じ手法によって攻撃可能ではあるものの、お互いに異なる脆弱性であることが分かる。

　このようにユーティリティ・マネージャには、複数の脆弱性が見つかっている。ユーザー補助機能が必要ないのであれば、「参考情報」で述べている方法で、ユーティリティ・マネージャのサービスを無効化しておいた方がよい。

・TechNetセキュリティ MS04-011（Microsoft Windows のセキュリティ修正プログラム）：
http://www.microsoft.com/japan/technet/security/bulletin/ms04-011.asp

・HotFix Alert MS04-011（Windows OSに対する複数の脆弱性により、任意のコードが実行させられる危険性）：
http://www.hotfix.jp/archives/alert/2004/ms04-011.html

■Windows 2000 SP2のサポートについて
　Windows 2000 SP2は、ライフサイクル・ポリシーにより、2004年6月30日でサポートが終了している。マイクロソフトは、MS04-019の修正プログラムに関しては開発作業が6月30日時点でほぼ終了していたため、提供を行ったとしている。今後は、Windows 2000 SP2に対する修正プログラムの提供が行われない可能性が高い。なるべく早く、SP4の適用を開始していただきたい。

■MBSA 1.2の結果
　MS04-019の修正プログラムが正しく適用されているかどうかは、MBSA 1.2で確認可能だ。未適用の場合は、「Windowsのセキュリティの更新」の「結果の詳細情報」に、「ユーティリティ マネージャの脆弱性により、コードが実行される (842526)」が表示される。

　Windows 2000は、標準で拡大鏡やナレータ、オンスクリーン・キーボードなどのユーザー補助プログラムをサポートしている。これらのユーザー補助プログラムの状態をチェックし、それらを起動／停止できるようにするユーティリティとして、「ユーティリティ・マネージャ」が用意されている。

　Windows 2000では、デフォルトでユーティリティ・マネージャがインストールされており、有効な状態となっている（サービスのスタートアップの種類は「手動」に設定されている）。ユーティリティ・マネージャを利用しなくても、MS04-019の脆弱性の影響を受ける。ユーティリティ・マネージャが有効かどうかは、キーボードで「Windowsキー」＋「U」を押すか、コマンド・プロンプトで「utilman /start」を実行し、ユーティリティ・マネージャを起動させることで確認できる。

　この脆弱性は、システムにログオンし、ユーティリティ・マネージャを開始してからでないと悪用できない。その後、起動したユーティリティ・マネージャが特別な細工をしたメッセージを受け取ると、ローカル・システム・アカウントでアプリケーションを起動したり、システムの制御を奪ったりできるようになる。修正プログラムは、ユーティリティ・マネージャが特定のアプリケーションを開始する機能を削除する。すでに実証コードが公開されているため、なるべく早く修正プログラムの適用を開始したい。

　修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。

Windows 2000：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB842526\Filelist

　何らかの理由から、直ちに修正プログラムを適用できない場合には、以下に示す方法で問題を回避できる。ただしこの回避策は、脆弱性を根本的に解決するものではない。

■ユーティリティ・マネージャを無効化する
　ユーティリティ・マネージャを無効化することで、攻撃者がユーティリティ・マネージャを起動するのを妨げることが可能になる。具体的には以下の操作を行う。またグループ・ポリシーの設定により、ドメイン内のクライアントに対して一括でユーティリティ・マネージャを無効化することも可能だ。

1. ［スタート］−［管理ツール］−［サービス］メニューを選択し、［サービス］ダイアログを起動する。
2. ［名前］列から「Utility Manager」を探し、右ボタンで表示されるメニューから［プロパティ］を選択する。
3. ［Utility Managerのプロパティ］ダイアログの「スタートアップの種類」を「無効」に変更し、［OK］ボタンをクリックする。

　これにより、キーボードで「Windowsキー」＋「U」を押したり、コマンド・プロンプトで「utilman /start」を実行したりしても、ユーティリティ・マネージャは起動しなくなる。