Darkeagle氏は、MS05-051で報告された「MSDTCの脆弱性(CAN-2005-2119)」に対する実証コードを公開した。
・FrSIRT(Microsoft Windows Distributed Transaction Coordinator Remote Exploit
(MS05-051)):
http://www.frsirt.com/exploits/20051127.55k7-msdtc.c.php
・HotFix Alert MS05-051(COM+のメモリ処理の脆弱性などにより、リモートで任意のコードが実行される危険性):
http://www.hotfix.jp/archives/alert/2005/ms05-051.html
・TechNetセキュリティ情報 MS05-051(MSDTC および COM+ の脆弱性により、リモートでコードが実行される):
http://www.microsoft.com/japan/technet/security/Bulletin/MS05-051.mspx
MS05-051の「MSDTCの脆弱性」は、MSDTCにある未チェック・バッファにより、細工されたメッセージを受信すると、任意のコードが実行される危険性があるというものだ。Windows
2000では、MSDTCがデフォルトで有効になっており、Zotobワームと同様の攻撃を受ける可能性がある。
実証コードは、ネットワーク経由で対象コンピュータの脆弱性を攻撃することで「MSDTCの脆弱性」の有無を確認するというものだ(Windows 2000
SP4のロシア語版で検証したとしている)。実証コードに関するドキュメントが公開されていないため、リモートでコードが実行されるかどうかは不明だ。The SANS
Instituteによれば、実証コードは対象コンピュータを異常終了させるだけだとしている。
・The SANS Institute(MS05-051 POC Exploit (NEW)):
http://isc.sans.org/diary.php?storyid=897
前述のように、Windows 2000ではMSDTCがデフォルトで有効になっているため、この脆弱性がワームに悪用された場合、影響が広範に及ぶ可能性が高い。実証コードが公開されたことから、このコードを悪用したワームが作成される危険性が高まっている。MS05-051の修正をまだ適用していないなら、至急、MS05-051の修正プログラムを適用した方がよい。
|