Windows 2000 Server、Windows XP、Windows Server 2003のリモート・デスクトップ・プロトコル（RDP：Remote Desktop Protocol）によるデータの確認処理に脆弱性が存在し、サービス拒否（DoS）攻撃を受ける危険がある。上記のWindows OSが細工されたRDPリクエストを受信すると、Windows OSがハングアップする。この脆弱性では、サービス拒否攻撃のみが可能で、悪用されてもシステムの制御が奪われたり、リモートでコードが実行されたりすることはない。しかしワームなどに悪用されると、事実上システムが利用できなくなるような攻撃も可能なので注意が必要だ。

　なおWindows 2000 Professionalは、リモート・デスクトップ・サービス／ターミナル・サーバが実装されていないため、この脆弱性は存在しない＊。またRDPは、Windows 2000 Server／Windows XP／Windows Server 2003のいずれもデフォルトでは有効になっていない。ただしサーバでは、リモート管理のため、RDPを利用するターミナル・サービスを手動で有効にしている場合も多いので、気をつける必要がある。

＊Windows 2000 Professionalには、クライアントであるリモート・デスクトップ接続を別途インストールできる。しかし、これにはMS05-041の対象ファイルであるrdpwd.sysが含まれていないため脆弱性はない。

　MS05-041の脆弱性は、すでに広く公開されていた。マイクロソフトによれば、この脆弱性を悪用した攻撃例は確認されていないという。ただし修正プログラムが公開されたことから、脆弱性を発見したSecurity-Protocolsがこの脆弱性に関するレポートと実証コードを公開した。この脆弱性がウイルスやワームに悪用されると、事実上、コンピュータが利用不能になる。リモート・デスクトップ・サービス／ターミナル・サービスを有効にしている場合は、なるべく早期に修正プログラムを適用した方がよい。

・Security-Protocols（Microsoft Windows RDP 'rdpwd.sys' Remote Kernel DoS）：
http://security-protocols.com/advisory/sp-x16-advisory.txt

　MS05-041は、マイクロソフトが「セキュリティ・アドバイザリ：904797」で報告済みの「細工されたRDPリクエストによってサービス拒否攻撃が可能になる脆弱性」である。2005年7月12日にSecurity-ProtocolsのTom Ferris氏が、Windows XP SP2のRDPに脆弱性があることを報告している。

・HotFix Weekly 2005/07/20日付け（Windowsのリモート・デスクトップ・サービスにサービス拒否攻撃を可能にする脆弱性）：
http://www.hotfix.jp/archives/alert/2005/news05-0720.html#01

・HotFix Report BBS会議室（Windowsのリモート・デスクトップ／ターミナル・サービス（RDP）にサービス拒否攻撃を可能にする脆弱性）：
http://bbs.hotfix.jp/ShowPost.aspx?PostID=3475

　RDPは、Windows XPのリモート・デスクトップ機能や、Windows 2000 Server／Windows Server 2003のターミナル・サーバ機能などで利用されているプロトコルである。RDPにより、デスクトップのコンピュータに仮想セッションを作成し、リモートでコンピュータ上のすべてのデータとアプリケーションにアクセス可能になる。ターミナル・サービスは、情報漏えい防止を目的としたシン・クライアント型C/Sシステム（クライアント側のハードディスクに情報を残さないようにしたC/Sシステム）として、広く利用されている。また、遠隔操作によるヘルプ・デスク・サポートを可能にするリモート・アシスタンス機能もRDPを利用している。

　リモート・デスクトップ／ターミナル・サーバ機能が有効になっている場合、匿名ユーザーからのRDPリクエストであっても自動的に受信してしまうため、リモートからの攻撃が行える。また通常はブロックしていると思われるが、ファイアウォールなどでRDPリクエストをブロックしていない場合（TCP 3389がブロックされていない場合）、インターネットを介した攻撃を受ける危険もある。

　Windows XP SP2では、リモート・デスクトップを有効にすると、インターネットを含めたすべてのコンピュータを対象として、Windowsファイアウォールにリモート・デスクトップ例外（TCP 3389をブロックの例外とする）が設定されるので注意すること。なおWindows Server 2003 SP未適用／SP1では、リモート・デスクトップを有効にしても、Windowsファイアウォールのリモート・デスクトップ例外は管理者が手動で有効化する必要がある。

■適用テストの結果
　DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。

■Windows 2000 Server SP3向けの修正プログラムは提供されない
　Windows 2000 Server SP3は2005年6月30日にサポート・ライフサイクルが終了したため、MS05-041の修正プログラムは提供されない。Windows 2000 Server SP4を適用してから、MS05-041の修正プログラムを適用する必要がある。

［お詫び］HotFix Alert MS05-041配信時、「MS05-039」とTechNetセキュリティ番号を誤って記載してしまいまいた。お詫びして訂正させていただきます。

■Windows XP SP2とWindows Server 2003 SP1では［プログラムの追加と削除］で表示形式が日付順になる修正ツールが実行される
　Windows XP SP2とWindows Server 2003 SP1では、update.exe 6.1を使用してビルドされた修正プログラムが、コントロール・パネルの［プログラムの追加と削除］で日付順に並ばないという不具合がある。これは、update.exe 6.1を使用してビルドされたパッケージのレジストリ・キーに、「Installed On」属性がないことに起因する。

　MS05-041の修正プログラムをWindows XP SP2とWindows Server 2003 SP1に対して適用すると、この不具合を解消する「arpidfix.exe」が実行され、［プログラムの追加と削除］の表示形式で日付順に並ぶように「Installed
On」属性を付加される。arpidfix.exeは、修正プログラムの実行時のみ使用される。

・サポート技術情報 904630（Arpidfix.exe ツールについて）：
http://support.microsoft.com/default.aspx?scid=kb;ja;904630

■MBSA 2.0の結果
　MS05-041の修正プログラムが正しく適用されているかどうかは、MBSA 2.0で確認可能だ。未適用の場合は、「MS05-041 Windows ｛2000／XP／Server 2003｝ 用セキュリティ更新プログラム (KB899591)」が表示される。参考までにMBSA 1.21では「Windowsのセキュリティの更新」に「リモート デスクトップ プロトコルの脆弱性により、サービス拒否が起こる (899591)」が表示される。

　修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。

・Windows 2000 Server SP4：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB899591\Filelist以下のファイル一覧を確認する

・Windows Server 2003 SP未適用／SP1：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP2\KB899591\Filelist以下のファイル一覧を確認する

・Windows 2000 Server SP4：
［展開ビュー］−［OS］タブに「名前：Windows2000-KB899591-x86-JPN.EXE」で登録

・Windows XP SP1／SP1a／SP2：
［展開ビュー］−［OS］タブに「名前：WindowsXP-KB899591-x86-JPN.exe」で登録

・Windows Server 2003 SP未適用／SP1：
UpdateEXPERT 5.1：サポート対象外
UpdateEXPERT 6.1：［展開ビュー］−［OS］タブに「名前：WindowsServer2003-KB899591-x86-JPN.exe」で登録