Windows NT Server 4.0／2000 Server／Server 2003のライセンス・ログ・サービスに未チェック・バッファの脆弱性があり、サービス拒否やリモートでコードが実行される危険性がある。最悪の場合、プログラムのインストール、データの表示／変更／削除、完全な特権を持つ新しいアカウントの作成など、攻撃者によってコンピュータの制御が完全に奪われてしまう。Windows Serverがインターネットに公開されている場合、リモートによる攻撃が可能である。そのため、この脆弱性を悪用したワームなどの登場が懸念される。

　MS05-010の脆弱性は、ライセンス・ログ・サービスが実行されている場合に影響を受ける。ライセンス・ログ・サービスは、Windows NT Server 4.0、Windows NT Server 4.0 Terminal Server Edition、Windows 2000 Serverにインストールされており、デフォルトで実行される。Windows Server 2003では、インストールされているもののデフォルトでは実行されないため、明示的に設定を変更していない限り、脆弱性の影響は受けない。またSmall Business Server 2000／2003でも、ライセンス・ログ・サービスが実行されているが、サービスが使用する通信ポートはデフォルトでインターネットからブロックされており、ライセンス・ログ・サービスが利用可能なのはローカル・ネットワークのみとなっている（内部に侵入されたワームによって攻撃が実行される危険性は残る）。

　マイクロソフトによれば、MS05-010の脆弱性は非公開で報告されたとしており、実証コードや攻撃例は確認されていないという。ただし、最近では脆弱性が公開されると、1カ月程度で実証コードや悪用した攻撃が現れるので注意が必要だ。ワームなどへの悪用が行われる前に、修正プログラムを適用しておきたい。

　ライセンス・ログ・サービスは、サーバ・クライアント・アクセス・ライセンス（CAL）モデルに基づいて、マイクロソフトのサーバ製品のライセンス管理を行うために開発されたものである。このライセンス・ログ・サービスが割り当てられたバッファにメッセージを渡す際の処理に未チェック・バッファが存在する。特別な細工をしたネットワーク・メッセージを受信すると、バッファ・オーバーフローが発生し、任意のコードが実行される危険性がある。

　Small Business Server 2000／2003以外では、ライセンス・ログ・サービスを無効にすることで脆弱性を回避できる。なおSmall Business Server 2000／2003では、ライセンス・ログ・サービスを無効にすると、システムが正しく機能しなくなる場合があるので注意が必要だ。

■適用テストの結果
　DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。

■Windows 2000 Server SP2向け修正プログラムは提供されない
　Windows 2000 SP2は2004年6月30日にサポート・ライフサイクルが終了したため、MS05-010の修正プログラムは提供されない。Windows 2000 Server SP2はSP3またはSP4を適用してから対応する修正プログラムを適用する。

■Windows NT Server 4.0／Terminal Server Edition SP6向けの修正プログラムは提供
　Windows NT Server 4.0とWindows NT 4.0 Server Terminal Server Edition SP6は、2004年12月31日でサポート・ライフサイクルが終了しているが、マイクロソフトによれば、「この脆弱性による危険性が高い」ため今回は提供を行ったとしている。しかしこうした例外はいつまで続くか分からないので、やはりOS自体のバージョンアップを検討すべきだ。なお、Windows NT Server 4.0とWindows NT 4.0 Server Terminal Server Edition SP6向けの修正プログラムはダウンロード・センターでのみ提供される。

■Windows Server 2003はサービス拒否が起きる可能性が高い
　MS05-010の脆弱性は、リモートでコードが実行される危険性がある。ただしマイクロソフトによれば、Windows Server 2003では、細工されたメッセージを受信しても、サービス拒否の発生にとどまる可能性が高いとしている。ライセンス・ログ・サービスが異常終了した場合、Windows Server 2003では自動的にサービスを再起動する。ただし自動再起動は3回までで、4回目に異常終了すると手動で再起動しないとライセンス・ログ・サービスは復帰しなくなる。これにより、ライセンス・ログ・サービスはすべてのリクエストに応答しなくなる。なお手動で再起動を行えば、ライセンス・ログ・サービスは復帰するが、脆弱性が残ったままの場合、再び攻撃によってサービス拒否が起きる危険性がある。

■MBSA 1.21の結果
　MS05-010の修正プログラムが正しく適用されているかどうかは、MBSA 1.21で確認可能だ。未適用の場合は、「Windowsのセキュリティの更新」の「結果の詳細情報」に、「ライセンス ログ サービスの脆弱性により、コードが実行される (885834)」が表示される。

　修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。

・Windows NT Server 4.0 SP6a／Terminal Server Edition SP6：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB885834の値「Installed」のデータが「1」であること

・Windows 2000 Server SP3／SP4：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB885834\Filelist以下のファイル一覧を確認する

・Windows Server 2003：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB885834\Filelist以下のファイル一覧を確認する

・Windows NT Server 4.0 SP6a：
UpdateEXPERT 5.1：［展開ビュー］−［OS］タブに「名前：NT4SVR-KB885834-x86-JPN.exe」で登録
UpdateEXPERT 6.1：［展開ビュー］−［OS］タブに「名前：WindowsNT4Server-KB885834-x86-JPN.exe」で登録

・Windows NT Server 4.0 Terminal Server Edition SP6：
UpdateEXPERT 5.1／6.1：サポート対象外

・Windows 2000 Server SP3／SP4：
［展開ビュー］−［OS］タブに「名前：Windows2000-KB885834-x86-JPN.EXE」で登録

・Windows Server 2003：
UpdateEXPERT 5.1：サポート対象外
UpdateEXPERT 6.1：［展開ビュー］−［OS］タブに「名前：WindowsServer2003-KB885834-x86-jpn.exe」で登録