Windows OSのNetBIOS名（コンピュータ名やユーザー名など）とIPアドレスを対応させるためのサービスであるWindowsインターネット・ネーム・サービス（WINS）に、「コンピュータ名の検証処理」と「アソシエーション・コンテキスト」に脆弱性が存在し、サービス拒否やリモートでコードが実行される危険性がある。最悪の場合、プログラムのインストール、データの表示／変更／削除、完全な特権を持つ新しいアカウントの作成など、攻撃者によってコンピュータの制御が完全に奪われてしまう。

　MS04-045の脆弱性は、WINSサーバとして構成されているWindows OSのみが影響を受ける（Windows 2000 ProfessionalやWindows XPはWINSサーバとして構成できないため影響を受けない）。WINSサーバ機能は、Windows NT Server／2000 Server／Server 2003に実装されているが、デフォルトでは無効になっている。ただし、ドメイン・コントローラなどでは、WINSを有効にしているケースも多いと思われる。またWindowsサーバを含むサーバ・スイート製品のSmall Business Server 2000／2003（SBS 2000／2003）では、デフォルトでWINSが有効化される。この場合でも、外部ネットワークからはWINSサービスにはアクセスできないようになっているが、万一アクセスが可能だと、リモートで任意のコードが実行される危険がある。

　現時点では、この脆弱性を悪用した攻撃は確認されていないとされている。ただし詳細な報告が行われてから時間が経過していることから、この脆弱性を悪用したウイルスなどが登場することも懸念される。WINSサーバを運用している場合は、なるべく早く修正プログラムの適用を行っていただきたい。

　WINSとは、NetBIOS名とIPアドレスを対応させるためのサービスである。Windows 9xやWindows NT／2000で実装されているネットワーク・サービスでは、NetBIOSインターフェイスを使って各種のサービスを実現している。このとき、コンピュータ名やユーザー名、サービス名などには、NetBIOS名と呼ばれる16bytesの文字列が割り当てられ、お互いのマシン名やサービスを区別する。TCP/IPプロトコルとNetBIOSインターフェイスを組み合わせたNBT（NetBIOS over TCP/IP）環境では、NetBIOS名とIPアドレスを何らかの方法で対応させる必要があるが、このために使用されるのがWINSというサービスである。WINSによる名前解決を行うWINSサーバは、Windows NT Server／2000 Server／Server 2003に標準で実装されている。

　MS04-045の修正プログラムでは、WINSに関する「コンピュータ名の検証処理」と「アソシエーション・コンテキスト」の2つの脆弱性を解消する。

■コンピュータ名の検証処理の脆弱性
　パケットに含まれるデータの値をWINSが検証する処理方法に未チェック・バッファが存在する。WINSサーバが特別な細工をしたネットワーク・メッセージを受信すると、バッファ・オーバーフローが発生し、任意のコードが実行される危険性がある。

■アソシエーション・コンテキストの脆弱性
　アソシエーション・コンテキストとは、WINSがWINSの複製パートナーに関する接続情報を保存するためのデータ構造である。WINSでは、複数のサーバ間でNetBIOS名とIPアドレスの対応情報を共有することで、ネットワークの負荷を分散させることを可能にしている。この際、レプリケーション・プロトコル（複製プロトコル）と呼ばれるプロトコルが利用され、アソシエーション・コンテキストもやり取りされる。WINSサーバが、特別に細工されたパケットと無効なアソシエーション・コンテキストのデータを受信すると、バッファ・オーバーフローが発生し、任意のコードが実行される危険性がある。

　この脆弱性については、すでにセキュリティ・ソフトウェア・ベンダのImmunityが11月26日に詳細をレポートしている。Immunityのレポートについては、2004年12月8日付け配信のHotFix Weeklyで報告済みなので、こちらを参照していただきたい。

・HotFix Weekly 2004/12/08日付け（WINSサーバにバッファ・オーバーフローの脆弱性が存在し、任意のコードが実行される危険性）：
http://www.hotfix.jp/archives/alert/2004/news04-1208.html#01

　どちらの脆弱性も、ファイアウォールなどでTCP／UDPポート42番の受信をブロックしていない場合、インターネットからリモートで攻撃を受ける危険性があるものだ。またウイルスやワームなどに悪用された場合、イントラネット内から攻撃される可能性も懸念される。WINSを利用している場合は、攻撃が開始される前に修正プログラムの適用を完了しておきたい。

■適用テストの結果
　DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。

■Windows Server 2003はサービス拒否が起きる可能性が高い
　MS04-045の脆弱性は、どちらもリモートでコードが実行される危険性のあるものだ。ただしマイクロソフトによれば、Windows Server 2003では、不正なパケットによるサービス拒否が起きる可能性が高いとしている。WINSが異常終了した場合、Windows Server 2003では自動的にWINSのサービスを再起動する。ただし自動再起動は3回までで、4回目に異常終了すると手動で再起動しないとWINSのサービスは復帰しなくなる。これにより、WINSに対するすべてのリクエストが応答しなくなる。なお手動で再起動を行えば、WINSは復帰するが、脆弱性が残ったままの場合、再び攻撃によってサービス拒否が起きる危険性がある。

■WINSサーバを再インストールしたら修正プログラムの再適用も必要
　MS04-045の修正プログラムを適用した後で、WINSサーバをインストールし直した場合は、再度MS04-045の修正プログラムも適用すべきである。これはWINSサーバをインストールする際、WINSサーバ関連の.DLLファイルや.EXEファイルが古いバージョン（通常は適用済みのサービスパックのレベル）に置き換わってしまい、脆弱性が復活してしまうことがあるためだ。特に、修正プログラムの適用／未適用をレジストリだけで確認する管理ツールを使用している場合、WINSサーバの再インストールによる古いバージョンのファイルの上書きを検出できない可能性があるため、注意が必要である。

■MBSA 1.21の結果
　MS04-045の修正プログラムが正しく適用されているかどうかは、MBSA 1.21で確認可能だ。未適用の場合は、「Windowsのセキュリティの更新」の「結果の詳細情報」に、「WINS の脆弱性により、リモートでコードが実行される (870763)」が表示される。

　修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。

・Windows NT Server 4.0 SP6a／Terminal Server Edition SP6：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB870763\Installedのデータが1であること

・Windows 2000 SP3／SP4：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB870763\Filelist以下のファイル一覧を確認する

・Windows Server 2003：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB870763\Filelist以下のファイル一覧を確認する

・Windows NT Server 4.0 SP6a：
UpdateEXPERT 5.1：［展開ビュー］−［IIS］タブに「名前：NT4SVR-KB870763-x86-JPN.exe」で登録
UpdateEXPERT 6.1：［展開ビュー］−［IIS］タブに「名前：WindowsServer2003-KB870763-x86-jpn.exe」で登録

・Windows NT Server 4.0 Terminal Server Edition SP6：
UpdateEXPERT 5.1／6.1：サポート対象外

・Windows 2000 Server SP3／SP4：
［展開ビュー］−［IIS］タブに「名前：Windows2000-KB870763-x86-JPN.EXE」で登録

・Windows Server 2003：
UpdateEXPERT 5.1：サポート対象外
UpdateEXPERT 6.1：［展開ビュー］−［IIS］タブに「名前：WindowsServer2003-KB870763-x86-jpn.exe」で登録