このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」 をご参照ください。

トップページ サービスの詳細 セキュリティ情報 購読の申し込み
 
 
Windowsプラットフォーム向けHotFix情報サービス
HotFix Alert:
2005/08/11日版
 
【登録日】2005/08/10
【更新日】2005/08/11
詳細
HFR BBS会議室
 
深刻度
1(緊急)
  2(重要)
  3(警告)
  4(注意)
攻撃コードの有無
なし
対策
至急適用
再起動の必要性
必要
アンインストール
対象環境
サーバ
クライアント
セキュリティ情報
MS05-039(日本)
MS05-039(US)
サポート技術情報
含まれる過去の修正
なし
脆弱性識別番号
MS05-039/899588
プラグ・アンド・プレイ・サービスの未チェック・バッファの脆弱性により、リモートで任意のコードが実行される危険性
(プラグ アンド プレイ の脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる)

緊急対応度:適用作業の至急開始

危険性 脆弱性による危険性を示す。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性がある。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示す。
                 
SP待ち
 
早期適用
 
緊急適用

 Windows 2000/XP/Server 2003のプラグ・アンド・プレイ・サービスに未チェック・バッファの脆弱性が存在し、リモートで任意のコードが実行される危険性がある。Windows 2000では、細工したメッセージを匿名ユーザーから受信するだけでこの脆弱性が悪用され、最悪の場合、コンピュータの制御が完全に奪われてしまう。Windows XP SP1では攻撃者が有効なログオン資格を、Windows XP SP2とWindows Server 2003では管理者権限のログオン資格を得ることが攻撃の条件となる。このように、Windows 2000では特に攻撃の危険性が高い脆弱性である。

 マイクロソフトによれば、MS05-039の脆弱性は非公開で報告されたとしており、実証コードや攻撃例は確認されていないという。脆弱性を発見したInternet Security Systems(ISS)によれば、「この脆弱性の実証コードがかなり近いうちに現れると予測する」としている。特にWindows 2000の場合は、ログオンの必要なしにインターネット経由で攻撃を受ける可能性があることから、ウイルスやワームへ悪用されると、Blasterワーム並みに急速に広まることが懸念される。至急、修正プログラムの適用を開始した方がよい。

・Internet Security Systems(Windows プラグ アンド プレイによるリモートからのセキュリティ侵害):
http://www.isskk.co.jp/support/techinfo/general/win_plugandplay_202.html

 

概要

 プラグ・アンド・プレイ・サービスとは、デバイスのインストールに際して設定や変更を認識し、自動的に対応するサービスである。Windows DCE-RPCサービスとして実装されており、SMB名前付きパイプで接続可能である。細工が施されたSMBプロトコルをプラグ・アンド・プレイ・サービスが受信すると、バッファ・オーバーフローが発生し、任意のコードが実行されてしまう。Windows 2000では、プラグ・アンド・プレイ・サービスのコンポーネントを利用する際に認証が必要ないため、匿名のユーザーによって攻撃が可能となっている。

 直接インターネットに接続されているコンピュータは、直接外部から攻撃を受ける危険性がある。また社内に侵入したワームやウイルスなどによって、LANを経由した攻撃が実行される可能性も懸念される。

 

対象プラットフォーム

影響を受けるソフトウェア 対象プラットフォーム
Windows 2000 Windows 2000 SP4
Windows XP Windows XP SP1/SP1a/SP2
Windows Server 2003 Windows Server 2003 SP未適用/SP1
 
‥‥‥ DA Lab:HotFixテスティング・チームからのコメント ‥‥‥

■適用テストの結果
 DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。

プラットフォーム
適用テスト結果
Windows 2000 Professional SP4
Windows 2000 Server SP4
Windows 2000 Advanced Server SP4
Windows XP Professional SP1
Windows XP Professional SP1a
Windows XP Professional SP2
Windows Server 2003, Standard Edition SP未適用
Windows Server 2003, Enterprise Edition SP未適用
Windows Server 2003, Standard Edition SP1
Windows Server 2003, Enterprise Edition SP1

■Windows 2000 SP3向けの修正プログラムは提供されない
 Windows 2000 SP3は2005年6月30日にサポート・ライフサイクルが終了したため、MS05-039の修正プログラムは提供されない。Windows 2000 SP4を適用してから、MS05-039の修正プログラムを適用する必要がある。

■Windows XP SP2とWindows Server 2003 SP1では[プログラムの追加と削除]で表示形式が日付順になる修正ツールが実行される
 Windows XP SP2とWindows Server 2003 SP1では、update.exe 6.1を使用してビルドされた修正プログラムが、コントロール・パネルの[プログラムの追加と削除]で日付順に並ばないという不具合がある。これは、update.exe 6.1を使用してビルドされたパッケージのレジストリ・キーに、「Installed On」属性がないことに起因する。

 MS05-039の修正プログラムでは、Windows XP SP2とWindows Server 2003 SP1において、この不具合を解消する「arpidfix.exe」を実行し、[プログラムの追加と削除]の表示形式で日付順に並ぶように「Installed On」属性を付加する。arpidfix.exeは、修正プログラムの実行時のみ使用される。

・サポート技術情報 904630(Arpidfix.exe ツールについて):
http://support.microsoft.com/default.aspx?scid=kb;ja;904630

■MBSA 2.0の結果
  MS05-039の修正プログラムが正しく適用されているかどうかは、MBSA 2.0で確認可能だ。未適用の場合は、「Windowsのセキュリティの更新プログラム」の「結果の詳細情報」に、「MS05-039 Windows {2000/XP/Server 2003} 用セキュリティ更新プログラム (KB901214) 」が表示される。参考までにMBSA 1.21では「Windowsのセキュリティの更新」に「プラグ アンド プレイ の脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる (899588)」が表示される。

 
‥‥‥ 修正プログラムのダウンロード先 ‥‥‥
プラットフォーム ダウンロード・センター WU/MU/SUS/WSUSの表示
Windows 2000 SP4 Windows 2000 用セキュリティ更新プログラム (KB899588)
Windows XP SP1/SP1a/SP2 Windows XP 用セキュリティ更新プログラム(KB899588)
Windows Server 2003 SP未適用/SP1 Windows Server 2003 用セキュリティ更新プログラム(KB899588)
 
‥‥‥ 適用されるファイル情報 ‥‥‥
 以下のファイルが修正プログラムによって更新される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。
 
Windows 2000 SP4:
ファイル名 日付 バージョン サイズ
Windows2000-KB899588-x86-JPN.EXE 2005/06/29 1.0.0.0
518,136
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ %SystemRoot%\system32\
umpnpmgr.dll 2005/06/28 5.0.2195.7057
89,360
User-mode Plug-and-Play Service
 
Windows XP SP1/SP1a/SP2:
ファイル名 日付 バージョン サイズ
WindowsXP-KB899588-x86-JPN.exe 2005/07/01 1.0.0.0
581,360
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ
(sp1qfe)
%SystemRoot%\system32\
umpnpmgr.dll 2005/06/30 5.1.2600.1711
106,496
User-mode Plug-and-Play Service
展開フォルダ
(sp2gdr/sp2qfe)
%SystemRoot%\system32\
umpnpmgr.dll 2005/06/30 5.1.2600.2710
117,248
User-mode Plug-and-Play Service
 
Windows Server 2003 SP未適用/SP1:
ファイル名 日付 バージョン サイズ
WindowsServer2003-KB899588-x86-JPN.exe 2005/07/01 1.0.0.0
594,672
 
ファイル名 日付 バージョン サイズ 機能
展開フォルダ
(rtmgdr/rtmqfe)
%SystemRoot%\system32\
umpnpmgr.dll 2005/06/30 5.2.3790.360
123,392
User-mode Plug-and-Play Service
展開フォルダ
(sp1gdr)
%SystemRoot%\system32\
umpnpmgr.dll 2005/06/30 5.2.3790.2477
137,728
User-mode Plug-and-Play Service
展開フォルダ
(sp1qfe)
%SystemRoot%\system32\
umpnpmgr.dll 2005/06/30 5.2.3790.2477
128,512
User-mode Plug-and-Play Service
 
‥‥‥ 確認方法 ‥‥‥

 修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。

・Windows 2000 SP3/SP4:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB899588\Filelist以下のファイル一覧を確認する

・Windows XP SP1/SP1a/SP2:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP3\KB899588\Filelist以下のファイル一覧を確認する

・Windows Server 2003 SP未適用/SP1:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\ Windows Server 2003\SP2\KB899588\Filelist以下のファイル一覧を確認する

 
‥‥‥ 参考情報 ‥‥‥

 何らかの理由で直ちに修正プログラムを適用できない場合には、以下に示す方法で回避が可能だ。ただしこの回避策は、脆弱性を根本的に解決するものではない。

■TCPポート139/445の受信側と送信側をファイアウォールでブロックする
 SMBプロトコルでの接続を開始するのに使用されるこれらのTCPポートを、インターネット接続ファイアウォールやパーソナル・ファイアウォール・ソフトウェアなどでブロックすることにより、この脆弱性を悪用した攻撃を防止できる。

 なおWindows XP SP2とWindows Server 2003 SP1のWindowsファイアウォールでは、デフォルトでTCPポート139/445の受信側と送信側をブロックする(ただしWindows Server 2003 SP1については、Windowsファイアウォールはデフォルトで無効である)。Windows XP SP2とWindows Server 2003 SP1でWindowsファイアウォールを有効にするには、以下の手順で操作を行う。

  1. スタート]−[コントロールパネル]を選択する。
  2. [Windowsファイアウォール]を選択し、[全般]タブで「有効」をクリックする。必要なら「例外を許可しない」にチェックをいれる。
  3. [OK]ボタンをクリックし、[Windowsファイアウォール]ダイアログを閉じる。

 [Windowsファイアウォール]の設定において、「例外」タブの「ファイルとプリンタの共有」チェックボックスがオンのまま例外を許可すると、TCPポート139/445はオープンされたままになってしまう(デフォルトではオフ)。当該チェックボックスをオフにするか、スコープを狭めるなどの対策が必要な点に注意すること。

 Windows XP SP1/SP1aでインターネット接続ファイアウォール(ICF)を有効にすることで、TCPポート139/445の受信側と送信側をブロックすることができる。ICFを有効にするには、以下の手順で操作を行う。

  1. デスクトップの[マイ ネットワーク]アイコンを右クリックし、メニューから[プロパティ]を選択する。
  2. [ネットワーク接続]ウィンドウが開くので、ICFを有効にしたい接続を右クリックし、[プロパティ]を選択する。
  3. [ネットワーク接続のプロパティ]ダイアログ−[詳細設定]タブを選択し、「インターネットからのこのコンピュータへのアクセスを制限したり防いだりして、コンピュータとネットワークを保護する」を選択する。
 

予想適用時間

修正プログラム名 50台 100台 250台 500台
Windows2000-KB899588-x86-JPN.EXE
(Windows 2000 SP4)
18分 27分 52分 1時間34分
WindowsXP-KB899588-x86-JPN.exe
(Windows XP SP1/SP1a/SP2)
18分 27分 52分 1時間34分
WindowsServer2003-KB899588-x86-JPN.exe
(Windows Server 2003 SP未適用/SP1)
18分 27分 52分 1時間34分
1コンソールのUpdateEXPERT 6.1で、今回の修正プログラムを適用するのにかかる時間を概算したもの。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なる。あくまでも目安として利用してほしい。
 

UpdateEXPERT上の表示

・Windows 2000 SP4:
[展開ビュー]−[OS]タブに「名前:Windows2000-KB899588-x86-JPN.EXE」で登録

・Windows XP SP1/SP1a/SP2:
[展開ビュー]−[OS]タブに「名前:WindowsXP-KB899588-x86-JPN.exe」で登録

・Windows Server 2003 SP未適用/SP1:
UpdateEXPERT 5.1:サポート対象外
UpdateEXPERT 6.1:[展開ビュー]−[OS]タブに「WindowsServer2003-KB899588-x86-JPN.exe」で登録

 

HotFix Reportは、UpdateEXPERTユーザー向けの情報を含んでいます。UpdateEXPERTは、管理者の負担を大幅に軽減するHotFix管理ツールです。UpdateEXPERTに関する詳細ならびにお問い合わせは、アップデートテクノロジー株式会社のホームページをご参照ください。
 
Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。 このメールに関する問い合わせ先:info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。