このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」 をご参照ください。

トップページ サービスの詳細 セキュリティ情報 購読の申し込み
 
 
Windowsプラットフォーム向けHotFix情報サービス
HotFix Alert:2003/07/18日版

   
【登録日】2003/07/18
【更新日】2004/02/18
深刻度
1(緊急)
  2(重要)
3(警告)
4(注意)
対策
至急適用
再起動の必要性
あり
対象環境
サーバ
クライアント
セキュリティ情報
MS03-026(日本)
MS03-026(US)
サポート技術情報
よく寄せられる質問
セキュリティ情報
fq03-026
アンインストール
含まれる過去の修正
なし
脆弱性識別番号
更新履歴
2003/07/17 セキュリティ情報ページを公開
MS03-026/823980
RPCインターフェイスの脆弱性により、システムが乗っ取られる可能性
(RPC インターフェイスのバッファ オーバーランによりコードが実行される)
 

対応策
 至急、修正プログラムの適用作業を開始してください。
 
概要

 RPC(Remote Procedure Call)は、ネットワーク上のほかのコンピュータにあるプログラムを呼び出すためのプロトコルです。このRPCにバッファ・オーバーランの脆弱性があります。RPCで不正なメッセージを受け取ると、TCP/IPポート135に応答するDCOMインターフェイスが影響を受け、コンピュータが異常終了する可能性があります。また、攻撃者がローカル・システム権限でユーザーのコンピュータの操作(プログラムのインストール、ハードディスクのフォーマット、データの削除、全アクセス権を持つ新規アカウントの作成など)を行うことを可能にします。この脆弱性を利用したワームの出現が予想されますので、至急、修正プログラムの適用作業を開始してください。

 
DA Lab:HotFixテスティング・チームからのコメント

 修正プログラムは、UpdateEXPERTが管理対象とするすべての適用対象プラットフォームにおいて適用テストを通過しました。

 MS03-026の修正プログラムは、マイクロソフトのセキュリティ情報によれば「過去の修正プログラムを含まない」とされています。しかし、Windows 2000ならびにWindows XPに関しては同じRPCインターフェイスの脆弱性を対象としていたMS03-010(RPCエンドポイント・マッパーの脆弱性により、サービス拒否の可能性)の修正を含んでいるものと思われます(置き換え対象となるファイルが同一のため)。ただし、Windows NT 4.0に関しては、MS03-010において修正が不可能であったことから、修正プログラムが提供されていませんでした。そのためWindows NT Server 4.0の場合、MS03-026の修正プログラムを適用した場合でも、MS03-010の脆弱性は解消されません。

 またWindows NT Workstation 4.0は、今回の脆弱性の対象となっているものの、サポート期間が6月30日に終了したことに伴い、MS03-026の修正プログラムの対応外となっています。Windows NT Workstation 4.0をご利用の場合は、運用に十分ご注意ください。

 
追加情報(2003/01/07)
BlasterワームならびにNachiワームの除去ツールの提供開始
情報ソース マイクロソフト
情報の内容 ツールの提供開始
発生条件 BlasterワームとNachiワームの感染
適用条件 2004年1月5日

 マイクロソフトは、BlasterワームならびにNachiワームの除去ツールの提供を開始しました。このツールは、マイクロソフトのダウンロード・センターで入手可能です。

 「TechNetセキュリティ情報:MS03-026(RPCインターフェイスの脆弱性により、システムが乗っ取られる可能性)」および「TechNetセキュリティ情報:MS03-039(RPCSSの脆弱性により、システムが乗っ取られる可能性)」の脆弱性を攻撃するBlasterワームやNachiワームに感染したコンピュータから、ワームの除去が行えます。すでにワームに感染したコンピュータ上でこのツールを実行することで、BlasterワームとNachiワームの除去が行えます。そのほかのワームについては、除去が行えませんのでご注意ください。

 また、このツールはワームの感染を防止する機能は持っていません。修正プログラムを適用せずにインターネットに接続すると、再びBlasterワームなどに感染する可能性があります。ワームの除去後は、速やかにMS03-039の修正プログラムを適用してください。

・ダウンロード・センター Windows-KB833330-JPN.exe(Windows Blaster ワーム駆除ツール):
http://www.microsoft.com/downloads/details.aspx?FamilyID=e70a0d8b-fe98-493f-ad76-bf673a38b4cf&DisplayLang=ja

不具合の対象:
 Windows 2000 SP2/SP3/SP4
 Windows XP SP未適用/SP1/SP1a

詳細:
 BlasterワームならびにNachiワームが感染しないようにするには、「TechNetセキュリティ情報:MS03-026」「TechNetセキュリティ情報:MS03-039」の修正プログラムを適用することが重要です。しかし、修正プログラムを適用するには、インターネットへの接続が必要になります。このような場合、すでに修正プログラムが適用済みのコンピュータを用いて修正プログラムをダウンロードし、それを適用するといった作業が必要になります。不用意にインターネットへ接続してしまったことにより、BlasterワームまたはNachiワームに感染した場合は、このツールを利用することでワームの除去が可能です。

 ウイルス対策ソフトウェア・ベンダ各社の報告によれば、現在でもNachiワームの活動は活発であり、未対策のコンピュータをインターネットへ接続すると高い確率で感染する危険性があります。修正プログラムの適用とウイルス対策ソフトウェアの導入などの対策を実施するのはもちろんのこと、感染したコンピュータにおいては速やかにワームの除去を行うことが重要です。BlasterワームもしくはNachiワームに感染したと思われる場合、このツールを実行し、ワームの除去を行ってください。なお、感染していないコンピュータに対し、このツールを実行しても不具合は発生しません。

 
追加情報(2003/08/13)
MS03-026の脆弱性を悪用するワーム「Blaster」が登場

 詳細は、「MS03-026の追加情報ページ」を参照してください。

・MS03-026の追加情報ページ:
http://www.hotfix.jp/archives/alert/2003/ms03-026add01.html

[追加情報]Blasterワームに対する、UpdateEXPERTを使った一括管理の方法(2003/08/14追記)
 ソフトウェア・アップデート管理ツール 「UpdateEXPERT」を利用したBlaster対策についての解説がアップデートテクノロジーのホームページで公開されました。UpdateEXPERTユーザーの方はご参照ください。

・アップデートテクノロジーの「Blaster ワームに対する、UpdateEXPERT を使った一括管理の方法」:
http://www.updatecorp.co.jp/products/support/updateexpert/uekb/uekb00000135.html

 
追加情報(2003/08/06)
MS03-026の脆弱性を悪用するウイルスが登場

 コンピュータ・ウイルス対策ソフトウェア・ベンダ各社は、「RPCインターフェイスのバッファ オーバーランによりコードが実行される(MS03-026)」の脆弱性を悪用するトロイの木馬型ウイルスを検出したことを明らかにしました。「Backdoor.IRC.Cirebot(シマンテック)」「Downloader-DM(日本ネットワークアソシエイツ)」などと呼ばれるこのウイルスは、感染するとバックドアを作成したり、RPCのバッファ・オーバーフローの脆弱性を悪用を試みたりします。

 現在のところ、自己増殖を行うワームではないため、それほど多くの被害は発生していません。しかし、すでに複数の脆弱性を実証するためのコード(Exploit)が、インターネット上の掲示板やセキュリティ関連のメーリング・リストなどで公開されているため、危険性は日々増大しています。MS03-026の脆弱性を悪用したウイルスが登場したことから、ワームの登場も時間の問題と思われます。MS03-026の脆弱性に対応した修正プログラムを至急適用してください。

 
対象プラットフォーム
 修正プログラムを適用するには、以下の対象プラットフォームに示されているサービスパックの適用が必要になります。
影響を受けるソフトウェア 対象プラットフォーム
Windows NT Server 4.0 Windows NT Server 4.0 SP6a
Windows NT Server 4.0, Terminal Server Edition Windows NT Server 4.0, Terminal Server Edition SP6
Windows 2000 Windows 2000 SP3/SP4
Windows XP Windows XP SP未適用/SP1/1a
Windows Server 2003 Windows Server 2003
(注意)Windows NT Server 4.0, Terminal Server Editionは、UpdateEXPERTのサポート対象外です。また、Windows Server 2003は現在のところ対応していません。
 
予想適用時間
修正プログラム名 50台 100台 250台 500台
JPNQ823980i.EXE
(Windows NT Server 4.0)
19分 27分 53分 1時間35分
Windows2000-KB823980-x86-JPN.exe
(Windows 2000)
18分 27分 52分 1時間35分
WindowsXP-KB823980-x86-JPN.exe
(Windows XP)
19分 27分 53分 1時間35分
この表は、1コンソールのUpdateEXPERTで、今回の修正プログラムを適用するのにかかる時間を概算したものです。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なります。あくまでも目安としてご利用ください。
 
UpdateEXPERT上の表示

・Windows NT Server 4.0
 [展開ビュー]−[OS]タブに「名前:JPNQ823980i.EXE」で登録

・Windows 2000
 [展開ビュー]−[OS]タブに「名前:Windows2000-KB823980-x86-JPN.exe」で登録

・Windows XP
 [展開ビュー]−[OS]タブに「名前:WindowsXP-KB823980-x86-JPN.exe」で登録

 
適用されるファイル情報
 以下のファイルにパッチが適用されます。障害の発生が懸念される場合は、これらのファイルのバックアップを取ってください。
 
・Windows NT Server 4.0 SP6a:
ファイル名 日付 バージョン サイズ
JPNQ823980i.EXE 2003/07/12 1.16.118.0
1,330,880
 
ファイル名 日付 バージョン サイズ 機能
展開ファイル %SystemRoot%\system32
Ole32.dll 2003/07/07 4.0.1381.7217
768,288
Microsoft OLE for Windows and Windows NT
Rpcrt4.dll 2003/07/07 4.0.1381.7095
374,400
Remote Procedure Call Runtime
Rpcss.exe 2003/07/07 4.0.1381.7217
114,512
Distribute COM Services
 
・Windows NT Server 4.0, Terminal Server Edition SP6:
ファイル名 日付 バージョン サイズ
JPNQ823980i.EXE 2003/07/09 1.16.118.0
738,912
 
ファイル名 日付 バージョン サイズ 機能
展開ファイル %SystemRoot%\system32
Ole32.dll 2003/07/08 4.0.1381.39772
768,288
Microsoft OLE for Windows and Windows NT
Rpcrt4.dll 2003/07/08 4.0.1381.39771
376,016
Remote Procedure Call Runtime
Rpcss.exe 2003/07/08 4.0.1381.39772
116,624
Distribute COM Services
 
・Windows 2000 SP3/4:
ファイル名 日付 バージョン サイズ
Windows2000-KB823980-x86-JPN.exe 2003/07/06 5.3.16.5
919,600
 
ファイル名 日付 バージョン サイズ 機能
展開ファイル %SystemRoot%\system32
Ole32.dll 2003/07/05 5.0.2195.6769
944,912
Microsoft OLE for Windows
Rpcrt4.dll 2003/07/05 5.0.2195.6753
432,400
Remote Procedure Call Runtime
Rpcss.dll 2003/07/05 5.0.2195.6769
188,688
Distribute COM Services
 
・Windows XP SP未適用/SP1/1a:
ファイル名 日付 バージョン サイズ
WindowsXP-KB823980-x86-JPN.exe 2003/07/06 5.3.18.1
1,292,064
 
ファイル名 日付 バージョン サイズ 機能
展開ファイル(SP未適用) %SystemRoot%\system32
Ole32.dll 2003/07/05 5.1.2600.115
1,092,096
Microsoft OLE for Windows
Rpcrt4.dll 2003/07/05 5.1.2600.109
439,296
Remote Procedure Call Runtime
Rpcss.dll 2003/07/05 5.1.2600.115
203,264
Distribute COM Services
展開ファイル(SP1/1a) %SystemRoot%\system32
Ole32.dll 2003/07/05 5.1.2600.1243
1,120,256
Microsoft OLE for Windows
Rpcrt4.dll 2003/07/05 5.1.2600.1230
504,320
Remote Procedure Call Runtime
Rpcss.dll 2003/07/05 5.1.2600.1243
202,752
Distribute COM Services
 
・Windows Server 2003:
ファイル名 日付 バージョン サイズ
WindowsServer2003-KB823980-x86-JPN.exe 2003/07/06 5.3.17.18
1,487,136
 
ファイル名 日付 バージョン サイズ 機能
展開ファイル %SystemRoot%\system32
Ole32.dll 2003/07/05 5.2.3790.68
1,182,720
Microsoft OLE for Windows
Rpcrt4.dll 2003/07/05 5.2.3790.59
657,920
Remote Procedure Call Runtime
Rpcss.dll 2003/07/05 5.2.3790.68
217,088
Distribute COM Services
 
確認方法

 修正プログラムが正しく適用されたことを確認するには、UpdateEXPERT上で該当する修正プログラムの「インストール ステータス アイコン」がグレーから緑色に変わったことをご確認ください。「適用されるファイル情報」で示したファイルに置き換わっていることでも確認できます。また、Windows 2000/XP/Windows Server 2003の各クライアント上では、以下のレジストリ・キーが登録されていることでも確認できます。
 
・Windows 2000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980

・Windows XP SP未適用
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB823980

・Windows XP SP1/SP1a
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980

・Windows Server 2003
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Window Server 2003\SP1\KB823980

 
修正プログラム

 手動で修正プログラムをインストールする場合は、以下のダウンロード先のリストで[日本語]を選択してください。
 
・Windows NT Server 4.0:
http://www.microsoft.com/downloads/details.aspx?FamilyID=2cc66f4e-217e-4fa7-bdbf-df77a0b9303f&DisplayLang=ja

・Windows NT Server 4.0, Terminal Server Edition: http://www.microsoft.com/downloads/details.aspx?FamilyID=6c0f0160-64fa-424c-a3c1-c9fad2dc65ca&DisplayLang=ja

・Windows 2000:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c8b8a846-f541-4c15-8c9f-220354449117&DisplayLang=ja

・Windows XP:
http://www.microsoft.com/downloads/details.aspx?FamilyID=2354406c-c5b6-44ac-9532-3de40f69c074&DisplayLang=ja

・Windows Server 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyID=f8e0ff3a-9f4c-4061-9009-3a212458e92e&DisplayLang=ja

 また、MS03-026の修正プログラムは、Windows NT Server 4.0, Terminal Server Editionを除いて、Windows Updateからも適用可能です。

 
参考情報

 何らかの理由から、直ちに修正プログラムを適用できない場合には、以下に示す方法で問題を回避できます。ただしこの回避策は、脆弱性を根本的に解決するものではありません。

・ファイアウォールなどでTCP/IPポート135をブロック
 TCP/IPポート135をファイアウォールなどによりブロックすることで、インターネットからの攻撃を回避することが可能です。Windows XPならびにWindows Server 2003の場合は、インターネット接続の「インターネット接続ファイアウォール」を有効にすることでインターネットからのRPCトラフィック受信をブロックすることができます。ただし、ファイアウォール内部(社内)からの攻撃に対しては、この方法では回避できません。

・DCOMを無効化
 DCOMを無効にすることでも、MS03-026の脆弱性を回避することができます。

  1. [スタート]−[ファイル名を指定して実行]で「Dcomcnfg.exe」を起動します。Windows NT 4.0もしくはWindows 2000の場合は、ここで[分散 COM の構成のプロパティ]ダイアログ・ボックスが開きます。Windows XPもしくはWindows Server 2003の場合は、[コンポーネント サービス]ウィンドウが開くので、コンソールルート下の [コンポーネント サービス]ノードをクリックし、[コンピュータ]サブフォルダを開きます。さらに[マイコンピュータ]上で右クリックし、[プロパティ]を選択します。
  2. [既定のプロパティ]タブをクリックします。
  3. [このコンピュータ上で分散 COM を有効にする]チェック・ボックスをオフにします。
  4. [OK]ボタンをクリックし、変更を適用します。

 ただしDCOMを無効にした場合、ほかのコンピュータとのオブジェクト間通信がすべて無効になるため、不具合の生じるアプリケーションもあります。設定には十分ご注意ください。

 
 
Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。 このメールに関する問い合わせ先:info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。