MS05-019の修正プログラムは、以下の5種類の脆弱性を解消する。すべて不正なパケットを受信するだけで攻撃が実行されてしまうので、ウイルスなどに悪用された場合、大きな被害となることが懸念される。
・IPの検証の脆弱性(深刻度:緊急 CVE:CAN-2005-0048)
IPネットワーク・パケットの検証が不完全であることに起因する脆弱性である。細工されたIPパケットを受信すると、任意のコードが実行される危険性がある。今回解消される5種類の脆弱性の中で最も危険なものだ。ただしこの脆弱性は、情報元からマイクロソフトに対してクローズに通知されたもので、実証コードは公開されていない。
なおこの脆弱性は、Windows 2000とWindows XP SP1/SP1aのみが対象で、Windows XP SP2やWindows Server
2003は影響を受けない。
・ICMP接続リセットの脆弱性(深刻度:警告 CVE:CAN-2004-0790)
ICMP(インターネット制御メッセージ・プロトコル)リクエストを検証する方法に脆弱性が存在し、細工されたICMPメッセージを受信すると、既存の接続がリセットされる危険性がある。サーバがこれらの攻撃を受けると、クライアントとの接続がリセットされるため、事実上、サーバの役目を果たさなくなる。この脆弱性は、すでに一般に公開されている。ただし、現時点では実証コードは公開されていないとしている。
この脆弱性は、すべてのWindows OSが対象となる。インターネット接続ファイアウォール(ICF)やWindowsファイアウォールを有効にしていても、細工されたICMPメッセージの受信をブロックすることはできないため、攻撃を受けるので注意してほしい。
・ICMPのパスMTUの脆弱(深刻度:警告 CVE:CAN-2004-1060)
パスMTU(Path maximum transmission unit)の設定プロセスの脆弱性により、細工されたICMPメッセージを受信すると、ネットワーク・パフォーマンスが低下し、リクエストの応答を停止する危険性がある。パスMTU探索とは、ネットワーク経路(パス)上において、IPフラグメンテーション(IPパケットを複数に分割して送信すること)を起こさずに送信可能なパケットの最大サイズを見つける処理のことである。送信するパケットのサイズをすべてこの値以下に制限することにより、IPフラグメンテーション処理に伴うオーバーヘッドなどを避けることができる。
MTUの最小サイズはTCP/IPの規格で576bytesと決められているが、細工したICMPメッセージを使ってこの脆弱性を攻撃すると、受信したコンピュータのMTU値が非常に低い値に設定されてしまう。すると同じ量のデータを送受信するのに必要なパケットの数が大幅に増加し、そのオーバーヘッドによってネットワークのパフォーマンスが低下する。通常、こうしたMTU値が影響を受けるのは、確立した1つの接続のみであるが、脆弱性の影響でほかの接続に対するMTU値も変更可能となってしまう。この脆弱性も、すでに一般に公開されている。ただし、現時点では実証コードは公開されていないとしている。
・TCP接続リセットの脆弱性(深刻度:注意 CVE:CAN-2004-0230)
TCPパケットの内容を検証する方法に脆弱性が存在し、細工されたTCPパケットを受信すると、既存の接続がリセットされる切断させられる)危険性がある。TCPパケットのヘッダ中には、不正な要求に対して拒否応答を返すためのリセット・フラグや、送受信するデータの順序を制御するためのシーケンス番号などが含まれる。既存のTCP接続からこれらの情報をモニタして抽出し、リセット・フラグをセットした偽造TCPパケットを送りつけると、脆弱性により、現在アクティブなTCP接続が切断させられてしまう。この脆弱性は、すでに一般に公開されており、実証コードも広く公開されている。なお、Windows
XP SP2はこの脆弱性の影響を受けない。
・Internet Security Systems(TCP spoofed reset denial of service):
http://xforce.iss.net/xforce/xfdb/15886
・FrSIRT(TCP Connection Reset Remote Windows 2K/XP Attack Tool Source Code):
http://www.frsirt.com/exploits/04222004.reset.dpr.php
・詐称の接続要求の脆弱性(深刻度:注意 CVE:CAN-2005-0688)
この脆弱性は、TCP/IPネットワーク・パケットの検証が不完全であることに起因する。送信元のアドレスを細工したSYNパケットを受信すると、サービス拒否が起きる。このような攻撃は「LAND攻撃」と呼ばれる。LAND攻撃は1997年に報告された比較的古い攻撃手法で、すでに多くのOSで対策が行われているものだ。Windows
Server 2003とWindows XP SP2のみ、この脆弱性の影響を受ける。
2005/03/16日付けのHotFix Weeklyで既報のとおり、すでにこの脆弱性については広く一般に公開されている。また古典的な攻撃手法であるため、攻撃用ツールなども広く配布されているので注意が必要だ。
・HotFix Weekly 2005/03/16日付け(Windows Server 2003とWindows XP SP2にLAND攻撃が可能な脆弱性):
http://www.hotfix.jp/archives/alert/2005/news05-0316.html#01
ファイアウォールのフィルタリングなどで、「送信元と受信先のアドレスが等しいパケットは破棄する」などの設定を行えば、攻撃は回避できる。特にWindows
Server 2003でWebサイトを構築しているような場合は、サービス拒否攻撃を受ける可能性があるので、ファイアウォールの導入や設定の確認を行った方がよい。Windows
XP SP2を利用している場合は、Windowsファイアウォールを有効にすることで脆弱性を回避できる。
|