MS03-026/823980 |
RPCインターフェイスの脆弱性により、システムが乗っ取られる可能性 |
(RPC インターフェイスのバッファ オーバーランによりコードが実行される) |
|
|
対応策 |
至急、修正プログラムの適用作業を開始してください。 |
|
概要 |
RPC(Remote Procedure Call)は、ネットワーク上のほかのコンピュータにあるプログラムを呼び出すためのプロトコルです。このRPCにバッファ・オーバーランの脆弱性があります。RPCで不正なメッセージを受け取ると、TCP/IPポート135に応答するDCOMインターフェイスが影響を受け、コンピュータが異常終了する可能性があります。また、攻撃者がローカル・システム権限でユーザーのコンピュータの操作(プログラムのインストール、ハードディスクのフォーマット、データの削除、全アクセス権を持つ新規アカウントの作成など)を行うことを可能にします。この脆弱性を利用したワームの出現が予想されますので、至急、修正プログラムの適用作業を開始してください。
|
|
DA Lab:HotFixテスティング・チームからのコメント |
修正プログラムは、UpdateEXPERTが管理対象とするすべての適用対象プラットフォームにおいて適用テストを通過しました。
MS03-026の修正プログラムは、マイクロソフトのセキュリティ情報によれば「過去の修正プログラムを含まない」とされています。しかし、Windows
2000ならびにWindows XPに関しては同じRPCインターフェイスの脆弱性を対象としていたMS03-010(RPCエンドポイント・マッパーの脆弱性により、サービス拒否の可能性)の修正を含んでいるものと思われます(置き換え対象となるファイルが同一のため)。ただし、Windows
NT 4.0に関しては、MS03-010において修正が不可能であったことから、修正プログラムが提供されていませんでした。そのためWindows NT Server
4.0の場合、MS03-026の修正プログラムを適用した場合でも、MS03-010の脆弱性は解消されません。
またWindows NT Workstation 4.0は、今回の脆弱性の対象となっているものの、サポート期間が6月30日に終了したことに伴い、MS03-026の修正プログラムの対応外となっています。Windows
NT Workstation 4.0をご利用の場合は、運用に十分ご注意ください。
|
|
追加情報(2003/01/07) |
BlasterワームならびにNachiワームの除去ツールの提供開始 |
情報ソース |
マイクロソフト |
情報の内容 |
ツールの提供開始 |
発生条件 |
BlasterワームとNachiワームの感染 |
適用条件 |
2004年1月5日 |
|
マイクロソフトは、BlasterワームならびにNachiワームの除去ツールの提供を開始しました。このツールは、マイクロソフトのダウンロード・センターで入手可能です。
「TechNetセキュリティ情報:MS03-026(RPCインターフェイスの脆弱性により、システムが乗っ取られる可能性)」および「TechNetセキュリティ情報:MS03-039(RPCSSの脆弱性により、システムが乗っ取られる可能性)」の脆弱性を攻撃するBlasterワームやNachiワームに感染したコンピュータから、ワームの除去が行えます。すでにワームに感染したコンピュータ上でこのツールを実行することで、BlasterワームとNachiワームの除去が行えます。そのほかのワームについては、除去が行えませんのでご注意ください。
また、このツールはワームの感染を防止する機能は持っていません。修正プログラムを適用せずにインターネットに接続すると、再びBlasterワームなどに感染する可能性があります。ワームの除去後は、速やかにMS03-039の修正プログラムを適用してください。
・ダウンロード・センター Windows-KB833330-JPN.exe(Windows Blaster ワーム駆除ツール):
http://www.microsoft.com/downloads/details.aspx?FamilyID=e70a0d8b-fe98-493f-ad76-bf673a38b4cf&DisplayLang=ja
|
不具合の対象:
Windows 2000 SP2/SP3/SP4
Windows XP SP未適用/SP1/SP1a |
詳細:
BlasterワームならびにNachiワームが感染しないようにするには、「TechNetセキュリティ情報:MS03-026」「TechNetセキュリティ情報:MS03-039」の修正プログラムを適用することが重要です。しかし、修正プログラムを適用するには、インターネットへの接続が必要になります。このような場合、すでに修正プログラムが適用済みのコンピュータを用いて修正プログラムをダウンロードし、それを適用するといった作業が必要になります。不用意にインターネットへ接続してしまったことにより、BlasterワームまたはNachiワームに感染した場合は、このツールを利用することでワームの除去が可能です。
ウイルス対策ソフトウェア・ベンダ各社の報告によれば、現在でもNachiワームの活動は活発であり、未対策のコンピュータをインターネットへ接続すると高い確率で感染する危険性があります。修正プログラムの適用とウイルス対策ソフトウェアの導入などの対策を実施するのはもちろんのこと、感染したコンピュータにおいては速やかにワームの除去を行うことが重要です。BlasterワームもしくはNachiワームに感染したと思われる場合、このツールを実行し、ワームの除去を行ってください。なお、感染していないコンピュータに対し、このツールを実行しても不具合は発生しません。
|
|
|
追加情報(2003/08/13) |
|
|
追加情報(2003/08/06) |
MS03-026の脆弱性を悪用するウイルスが登場 |
コンピュータ・ウイルス対策ソフトウェア・ベンダ各社は、「RPCインターフェイスのバッファ オーバーランによりコードが実行される(MS03-026)」の脆弱性を悪用するトロイの木馬型ウイルスを検出したことを明らかにしました。「Backdoor.IRC.Cirebot(シマンテック)」「Downloader-DM(日本ネットワークアソシエイツ)」などと呼ばれるこのウイルスは、感染するとバックドアを作成したり、RPCのバッファ・オーバーフローの脆弱性を悪用を試みたりします。
現在のところ、自己増殖を行うワームではないため、それほど多くの被害は発生していません。しかし、すでに複数の脆弱性を実証するためのコード(Exploit)が、インターネット上の掲示板やセキュリティ関連のメーリング・リストなどで公開されているため、危険性は日々増大しています。MS03-026の脆弱性を悪用したウイルスが登場したことから、ワームの登場も時間の問題と思われます。MS03-026の脆弱性に対応した修正プログラムを至急適用してください。
|
|
|
対象プラットフォーム |
修正プログラムを適用するには、以下の対象プラットフォームに示されているサービスパックの適用が必要になります。
影響を受けるソフトウェア |
対象プラットフォーム |
Windows NT Server 4.0 |
Windows NT Server 4.0 SP6a |
Windows NT Server 4.0, Terminal Server Edition |
Windows NT Server 4.0, Terminal Server Edition SP6 |
Windows 2000 |
Windows 2000 SP3/SP4 |
Windows XP |
Windows XP SP未適用/SP1/1a |
Windows Server 2003 |
Windows Server 2003 |
(注意)Windows NT Server 4.0,
Terminal Server Editionは、UpdateEXPERTのサポート対象外です。また、Windows Server 2003は現在のところ対応していません。
|
|
予想適用時間 |
修正プログラム名 |
50台 |
100台 |
250台 |
500台 |
JPNQ823980i.EXE
(Windows NT Server 4.0)
|
19分 |
27分 |
53分 |
1時間35分 |
Windows2000-KB823980-x86-JPN.exe
(Windows 2000)
|
18分 |
27分 |
52分 |
1時間35分 |
WindowsXP-KB823980-x86-JPN.exe
(Windows XP)
|
19分 |
27分 |
53分 |
1時間35分 |
この表は、1コンソールのUpdateEXPERTで、今回の修正プログラムを適用するのにかかる時間を概算したものです。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なります。あくまでも目安としてご利用ください。
|
|
UpdateEXPERT上の表示 |
・Windows NT Server 4.0
[展開ビュー]−[OS]タブに「名前:JPNQ823980i.EXE」で登録
・Windows 2000
[展開ビュー]−[OS]タブに「名前:Windows2000-KB823980-x86-JPN.exe」で登録
・Windows XP
[展開ビュー]−[OS]タブに「名前:WindowsXP-KB823980-x86-JPN.exe」で登録
|
|
適用されるファイル情報 |
以下のファイルにパッチが適用されます。障害の発生が懸念される場合は、これらのファイルのバックアップを取ってください。
・Windows NT Server 4.0 SP6a:
ファイル名 |
日付 |
バージョン |
サイズ |
JPNQ823980i.EXE |
2003/07/12 |
1.16.118.0 |
1,330,880
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開ファイル |
%SystemRoot%\system32 |
Ole32.dll |
2003/07/07 |
4.0.1381.7217 |
768,288
|
Microsoft OLE for Windows and Windows NT |
Rpcrt4.dll |
2003/07/07 |
4.0.1381.7095 |
374,400
|
Remote Procedure Call Runtime |
Rpcss.exe |
2003/07/07 |
4.0.1381.7217 |
114,512
|
Distribute COM Services |
・Windows NT Server 4.0, Terminal Server Edition SP6:
ファイル名 |
日付 |
バージョン |
サイズ |
JPNQ823980i.EXE |
2003/07/09 |
1.16.118.0 |
738,912
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開ファイル |
%SystemRoot%\system32 |
Ole32.dll |
2003/07/08 |
4.0.1381.39772 |
768,288
|
Microsoft OLE for Windows and Windows NT |
Rpcrt4.dll |
2003/07/08 |
4.0.1381.39771 |
376,016
|
Remote Procedure Call Runtime |
Rpcss.exe |
2003/07/08 |
4.0.1381.39772 |
116,624
|
Distribute COM Services |
・Windows 2000 SP3/4:
ファイル名 |
日付 |
バージョン |
サイズ |
Windows2000-KB823980-x86-JPN.exe |
2003/07/06 |
5.3.16.5 |
919,600
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開ファイル |
%SystemRoot%\system32 |
Ole32.dll |
2003/07/05 |
5.0.2195.6769 |
944,912
|
Microsoft OLE for Windows |
Rpcrt4.dll |
2003/07/05 |
5.0.2195.6753 |
432,400
|
Remote Procedure Call Runtime |
Rpcss.dll |
2003/07/05 |
5.0.2195.6769 |
188,688
|
Distribute COM Services |
・Windows XP SP未適用/SP1/1a:
ファイル名 |
日付 |
バージョン |
サイズ |
WindowsXP-KB823980-x86-JPN.exe |
2003/07/06 |
5.3.18.1 |
1,292,064
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開ファイル(SP未適用) |
%SystemRoot%\system32 |
Ole32.dll |
2003/07/05 |
5.1.2600.115 |
1,092,096
|
Microsoft OLE for Windows |
Rpcrt4.dll |
2003/07/05 |
5.1.2600.109 |
439,296
|
Remote Procedure Call Runtime |
Rpcss.dll |
2003/07/05 |
5.1.2600.115 |
203,264
|
Distribute COM Services |
展開ファイル(SP1/1a) |
%SystemRoot%\system32 |
Ole32.dll |
2003/07/05 |
5.1.2600.1243 |
1,120,256
|
Microsoft OLE for Windows |
Rpcrt4.dll |
2003/07/05 |
5.1.2600.1230 |
504,320
|
Remote Procedure Call Runtime |
Rpcss.dll |
2003/07/05 |
5.1.2600.1243 |
202,752
|
Distribute COM Services |
・Windows Server 2003:
ファイル名 |
日付 |
バージョン |
サイズ |
WindowsServer2003-KB823980-x86-JPN.exe |
2003/07/06 |
5.3.17.18 |
1,487,136
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開ファイル |
%SystemRoot%\system32 |
Ole32.dll |
2003/07/05 |
5.2.3790.68 |
1,182,720
|
Microsoft OLE for Windows |
Rpcrt4.dll |
2003/07/05 |
5.2.3790.59 |
657,920
|
Remote Procedure Call Runtime |
Rpcss.dll |
2003/07/05 |
5.2.3790.68 |
217,088
|
Distribute COM Services |
|
|
確認方法 |
修正プログラムが正しく適用されたことを確認するには、UpdateEXPERT上で該当する修正プログラムの「インストール ステータス アイコン」がグレーから緑色に変わったことをご確認ください。「適用されるファイル情報」で示したファイルに置き換わっていることでも確認できます。また、Windows
2000/XP/Windows Server 2003の各クライアント上では、以下のレジストリ・キーが登録されていることでも確認できます。
・Windows 2000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980
・Windows XP SP未適用
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB823980
・Windows XP SP1/SP1a
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980
・Windows Server 2003
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Window Server 2003\SP1\KB823980
|
|
修正プログラム |
手動で修正プログラムをインストールする場合は、以下のダウンロード先のリストで[日本語]を選択してください。
・Windows NT Server 4.0:
http://www.microsoft.com/downloads/details.aspx?FamilyID=2cc66f4e-217e-4fa7-bdbf-df77a0b9303f&DisplayLang=ja
・Windows NT Server 4.0, Terminal Server Edition: http://www.microsoft.com/downloads/details.aspx?FamilyID=6c0f0160-64fa-424c-a3c1-c9fad2dc65ca&DisplayLang=ja
・Windows 2000:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c8b8a846-f541-4c15-8c9f-220354449117&DisplayLang=ja
・Windows XP:
http://www.microsoft.com/downloads/details.aspx?FamilyID=2354406c-c5b6-44ac-9532-3de40f69c074&DisplayLang=ja
・Windows Server 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyID=f8e0ff3a-9f4c-4061-9009-3a212458e92e&DisplayLang=ja
また、MS03-026の修正プログラムは、Windows NT Server 4.0, Terminal Server Editionを除いて、Windows
Updateからも適用可能です。
|
|
参考情報 |
何らかの理由から、直ちに修正プログラムを適用できない場合には、以下に示す方法で問題を回避できます。ただしこの回避策は、脆弱性を根本的に解決するものではありません。
・ファイアウォールなどでTCP/IPポート135をブロック
TCP/IPポート135をファイアウォールなどによりブロックすることで、インターネットからの攻撃を回避することが可能です。Windows XPならびにWindows
Server 2003の場合は、インターネット接続の「インターネット接続ファイアウォール」を有効にすることでインターネットからのRPCトラフィック受信をブロックすることができます。ただし、ファイアウォール内部(社内)からの攻撃に対しては、この方法では回避できません。
・DCOMを無効化
DCOMを無効にすることでも、MS03-026の脆弱性を回避することができます。
- [スタート]−[ファイル名を指定して実行]で「Dcomcnfg.exe」を起動します。Windows NT 4.0もしくはWindows 2000の場合は、ここで[分散
COM の構成のプロパティ]ダイアログ・ボックスが開きます。Windows XPもしくはWindows Server 2003の場合は、[コンポーネント サービス]ウィンドウが開くので、コンソールルート下の
[コンポーネント サービス]ノードをクリックし、[コンピュータ]サブフォルダを開きます。さらに[マイコンピュータ]上で右クリックし、[プロパティ]を選択します。
- [既定のプロパティ]タブをクリックします。
- [このコンピュータ上で分散 COM を有効にする]チェック・ボックスをオフにします。
- [OK]ボタンをクリックし、変更を適用します。
ただしDCOMを無効にした場合、ほかのコンピュータとのオブジェクト間通信がすべて無効になるため、不具合の生じるアプリケーションもあります。設定には十分ご注意ください。
|
|