このページは、HotFix Reportで配信されたセキュリティ情報のバックナンバーです。「更新日」に明記された時点での情報ですのでご注意ください。ご購読の申し込みは「HotFix Report購読の申し込み」 をご参照ください。

トップページ サービスの詳細 セキュリティ情報 購読の申し込み
 
 
Windowsプラットフォーム向けHotFix情報サービス
HotFix Alert:2003/08/13日版

   
【登録日】2003/08/13
【更新日】2003/08/21
深刻度
1(緊急)
  2(重要)
3(警告)
4(注意)
対策
至急適用
再起動の必要性
あり
対象環境
サーバ
クライアント
セキュリティ情報
MS03-026(日本)
MS03-026(US)
サポート技術情報
よく寄せられる質問
セキュリティ情報
fq03-026
アンインストール
含まれる過去の修正
なし
脆弱性識別番号
更新履歴
2003/07/17 セキュリティ情報ページを公開
MS03-026/823980
[追加情報]RPCインターフェイスの脆弱性により、システムが乗っ取られる可能性(MS03-026の脆弱性を悪用するワーム「Blaster」について)
(RPC インターフェイスのバッファ オーバーランによりコードが実行される)
 

対応策
 至急、修正プログラムの適用作業を開始してください。
 
概要

 本ページは追加情報ページです。詳細は、HotFix Reportのホームページ上にある「HotFix Alert:MS03-026」をご参照ください。

 RPC(Remote Procedure Call)は、ネットワーク上のほかのコンピュータにあるプログラムを呼び出すためのプロトコルです。このRPCにバッファ・オーバーランの脆弱性があります。RPCで不正なメッセージを受け取ると、TCP/IPポート135に応答するDCOMインターフェイスが影響を受け、コンピュータが異常終了する可能性があります。また、攻撃者がローカル・システム権限でユーザーのコンピュータの操作(プログラムのインストール、ハードディスクのフォーマット、データの削除、全アクセス権を持つ新規アカウントの作成など)を行うことを可能にします。

 すでにこの脆弱性を利用したワームが出現しています。また、早くもBlasterを改変した亜種が2種類検出されたようです(2003年8月14日現在)。どちらの亜種も、基本的にはBlasterと同様で、システムの破壊は行わないようです(ほかのコンピュータへの感染を広げたり、システムが再起動したりします)。今後、システムの破壊などを行う危険性の高い亜種が登場することが十分予想されます。至急、修正プログラムの適用作業を開始してください。

 
DA Lab:HotFixテスティング・チームからのコメント

 ウイルス対策ソフトウェア・ベンダ各社は、MS03-026(RPCインターフェイスの脆弱性により、システムが乗っ取られる可能性)の脆弱性を悪用するワーム「Blaster(ブラスター)」の危険度を引き上げました(名称はウイルス対策ソフトウェア・ベンダによって異なり、トレンドマイクロは「WORM_MSBLAST.A」、 シマンテックは「W32.Blaster.Worm」、ネットワークアソシエイツ は「W32/Lovsan.worm」と呼んでいます)。

■Blasterの攻撃手法(2003/08/18下線部修正)
 Blasterの詳細については、Symantecのレポート「Microsoft DCOM PRC Worm Alert」に詳しく解説されています。

・Symantec DeepSight Threat Management System:Microsoft DCOM PRC Worm Alert(英語:PDFファイル)
https://tms.symantec.com/members/AnalystReports/030811-Alert-DCOMworm.pdf

 このレポートによれば、Blasterの感染手順は次の通りです。BlasterはWindows OSに感染すると、「BILLY」というミューテックス(スレッドの同期を制御するために使用されるWin32のカーネル・オブジェクト)を作成します。次に、レジストリに以下のキーを登録し、Windowsの起動時にmsblast.exe(ワームの実行ファイル)が自動実行されるように設定します。

キー:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
値 :"windows auto update" = "MSBLAST.EXE"

 その後、次の攻撃先を決めるためにIPアドレスの生成を次の手順で行います。

  1. ランダムな値を20で割り、その余りが12以上の場合、ターゲットをローカルIPアドレスに設定します(→ 2へ)。12未満の場合は、新しいIPアドレスをランダムに生成します。
  2. ローカル・ホストのIPアドレス(A.B.C.D)のDに0をセットします。もし、Cが20よりも大きかった場合、Cを20以下のランダムを引き、その値をCとしてIPアドレスを生成します。

 こうして生成したIPアドレスに対して、TCPポート135にデータを送信し、MS03-026の脆弱性を持つコンピュータを探します。新しい脆弱性を持つコンピュータが見つかった場合、単純なファイル転送機能を提供するtftpサーバを起動し、新しいコンピュータ上にTCPポート4444で待機するリモート・シェルを作成します。このシェルからtftpのgetコマンドを起動させ、感染元のコンピュータからmsblast.exeを転送し、新しいコンピュータ上でmsblast.exeを実行します。あとは、同じことを繰り返して感染を広げていきます。

 Blasterに感染によって、Windows OSの書き換えやデータの破壊を行う例は報告されていませんが、感染活動によってWindows OSが異常終了することがあります。また、感染活動を行うにあたり、ネットワークの帯域を消費するため、ネットワークのスループットが大幅に低下します。

 対策としては、MS03-026で提供された修正プログラムを適用するとともに、ファイアウォールなどインターネットとの接点でTCP/UDP 135、UDP 137、UDP 138、TCP 445、TCP 593の各ポートを閉じることが重要です。

■Internet Security SystemsがMS03-026の脆弱性を持つコンピュータの検出ツールを提供
 Internet Security Systems(ISS)は、MS03-026の脆弱性を持つコンピュータを検出するツール「Scanms」の提供を開始しました。Scanmsは、コマンドライン・ツールで、以下のコマンド・ラインによりIPアドレスの指定範囲を検索し、MS03-026の修正プログラムが適用されていないコンピュータを検出します。

scanms.exe [開始IPアドレス]-[終了IPアドレス]

 開始IPアドレスを「192.168.0.1」、終了IPアドレスを「192.168.0.100」として実行すると、以下のように結果が表示されます。

c:\> scanms.exe 192.168.0.1-192.168.0.100
---- ScanMs Tool --- (c) 2003 Internet Security Systems ---
Scans for systems vulnerable to MS03-026 vuln
More accurate for WinXP/Win2k, less accurate for WinNT
ISS provices no warrantees for any purpose, use at own risk
IP Address REMACT SYSACT DCOM Version
-----------------------------------------------------
192.168.0.31 [....] [ptch] 0.0
192.168.0.55 [ptch] [ptch] 5.6
192.168.0.54 [ptch] [ptch] 5.6
192.168.0.100 [....] [ptch] 0.0
192.168.0.51 [ptch] [ptch] 5.6
192.168.0.70 [ptch] [ptch] 5.6
192.168.0.57 [ptch] [ptch] 5.6
192.168.0.56 [....] [VULN] 0.0
192.168.0.69 [ptch] [ptch] 5.6
192.168.0.53 [ptch] [ptch] 5.6
192.168.0.71 [ptch] [ptch] 5.6

 「REMACT」「SYSACT」の2種類の検出方法(検出方法については不明)を試しているため、それぞれについて結果が表示されます。片方でも[VULN]と表示されている場合は、修正プログラムが適用されていない可能性があります。

・ISSのMS03-026の脆弱性検出ツールのダウンロード・ページ:
http://www.iss.net/support/product_utilities/ms03-026rpc.php

■Windows 2000 SP2も修正プログラムの対象プラットフォームに追加
 MS03-026の脆弱性を悪用するワーム「Blaster」の感染が拡大しているためか、マイクロソフトはすでにサポート対象外となっているWindows 2000 SP2についても、MS03-026の修正プログラムの適用対象に追加しました。ただし、Windows 2000 SP2では最低限のテストのみを実施したとされているため、互換性問題などが発生する可能性も否定できません。なお、マイクロソフトの「サポート技術情報:823980」によれば、Windows NT Workstation 4.0 SP6aに対しても修正プログラムの適用が可能であるということです。ただし、Windows NT Workstation 4.0 SP6aに対しては、正式に適用対象とはなっていません。

 また、Windows NT 4.0 SP6aならびにWindows 2000 SP2において、RPCの脆弱性を解消するには、MS03-026の修正プログラムのほか、MS01-041(不正なRPCリクエストがサービスを異常終了させる)で提供されている修正プログラムの適用が必要です。必ず、MS01-041とMS03-026の両修正プログラムを適用してください。HotFixテスティング・チームの修正プログラム適用テストの結果、MS03-026の適用後にMS01-041の適用も可能でした(ファイルのバージョンが戻ることはありませんでした)。なおMS01-041は、Windows 2000 SP3に含まれているため、Windows 2000 SP3/SP4には修正プログラムを適用する必要はありません。

 MS01-041の修正プログラムは、以下のダウンロード・ページで「日本語」もしくは「Japanese Language Version」を選択してダウンロードしてください。なお、Windows NT 4.0 SP6aに対するMS01-041の修正プログラムは単体では配布されておらず、ほかのセキュリティ修正プログラムを集積した「セキュリティ ロールアップ パッケージ」に含まれています。

・MS01-041 Windows 2000 SP2用修正プログラム:
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=3E101F96-233B-4D77-B11E-9B9F92941BDD

・Windows NT 4.0 SP6a用修正プログラム(セキュリティ ロールアップ パッケージ):
http://www.microsoft.com/ntserver/nts/downloads/critical/q299444/default.asp

 
追加情報(2003/08/21)
マイクロソフトからMS03-026の脆弱性検出ツールの提供開始

 マイクロソフトは、MS03-026で提供された修正プログラムを適用していないコンピュータをネットワーク上で検出するためのツール「KB 823980 Scanning Tool(KB823980scan.exe)」の提供を開始しました。このツールは、Internet Security Systems(ISS)が提供するツール「Scanms」と同様のコマンドラインで使用するツールです。以下の書式のように、コマンドラインによって指定範囲を検索し、MS03-026の修正プログラムが適用されていないコンピュータを検出します。

KB823980scan.exe [開始IPアドレス]-[終了IPアドレス]
KB823980scan.exe [IPアドレス]/[CIDRマスク]
KB823980scan.exe [ホスト名]
KB823980scan.exe [ドメイン名]

 このように検索範囲を指定します。例えば、開始IPアドレスを「192.168.0.1」、終了IPアドレスを「192.168.0.100」として実行すると、以下のように結果が表示されます。

C:\Program Files\KB823980Scan> KB823980Scan.exe 192.168.0.1-192.168.0.100

Microsoft (R) KB823980 Scanner Version 1.00.0002 for 80x86
Copyright (c) Microsoft Corporation 2003. All rights reserved.

<+> Starting scan (timeout = 50000 ms)

192.168.0.51: patched with KB823980
192.168.0.53: patched with KB823980
192.168.0.54: patched with KB823980
192.168.0.55: patched with KB823980
192.168.0.56: unpatched
192.168.0.57: patched with KB823980
192.168.0.11: connection to tcp/135 refused
192.168.0.69: patched with KB823980
192.168.0.70: patched with KB823980
192.168.0.71: patched with KB823980
192.168.0.68: connection to tcp/135 refused
192.168.0.21: connection to tcp/135 refused
192.168.0.100: patched with KB823980
192.168.0.92: connection to tcp/135 refused
192.168.0.91: connection to tcp/135 refused

Statistics:

 Patched with KB823980  = 9
 Unpatched         = 1
 TOTAL HOSTS SCANNED   = 10

 Needs Investigation   = 0
 Connection refused    = 5
 Host unreachable     = 85
 Errors          = 0
 TOTAL HOSTS SKIPPED   = 90

 TOTAL ADDRESSES SCANNED = 100

 この結果を見ると、IPアドレス「192.168.0.56」のコンピュータに修正プログラムが適用されていないことが分かります。「connection to tcp/135 refused」というメッセージは、TCPポート135番がフィルタリングされているなどの理由で、外部からこのポートに接続できないことを意味します。このコンピュータは、脆弱性があったとしても外部からの攻撃によってクラックされることはありません。ただし、接続を拒否(Refused)しないネットワーク・インターフェイスからの攻撃で感染する可能性があります。これは、ポートがふさがれているものの、脆弱性を排除する修正プログラムが適用されているかどうかを確認できないためです。

 KB 823980 Scanning Toolのダウンロード先ならびに使い方については、マイクロソフトの「サポート技術情報:82639」を参照してください。

・マイクロソフト サポート技術情報 826369:
http://support.microsoft.com/?kbid=826369

 
追加情報(2003/08/14)
Blasterワームに対する、UpdateEXPERTを使った一括管理の方法

 ソフトウェア・アップデート管理ツール 「UpdateEXPERT」を利用したBlaster対策についての解説がアップデートテクノロジーのホームページで公開されました。UpdateEXPERTユーザーの方はご参照ください。

・アップデートテクノロジーの「Blaster ワームに対する、UpdateEXPERT を使った一括管理の方法」:
http://www.updatecorp.co.jp/products/support/updateexpert/uekb/uekb00000135.html

 
対象プラットフォーム
 修正プログラムを適用するには、以下の対象プラットフォームに示されているサービスパックの適用が必要になります。
影響を受けるソフトウェア 対象プラットフォーム
Windows NT Server 4.0 Windows NT Server 4.0 SP6a
Windows NT Server 4.0, Terminal Server Edition Windows NT Server 4.0, Terminal Server Edition SP6
Windows 2000 Windows 2000 SP3/SP4
Windows XP Windows XP SP未適用/SP1/1a
Windows Server 2003 Windows Server 2003
Windows NT Workstation 4.0 Windows NT Workstation 4.0 SP6a
Windows 2000 Windows 2000 SP2
(注意)Windows NT Server 4.0, Terminal Server Editionは、UpdateEXPERTのサポート対象外です。また、Windows Server 2003は現在のところ対応していません。Windows NT Workstation 4.0 SP6aならびにWindows 2000 SP2がサポート対象外ながら、修正プログラムの適用が可能であることが、マイクロソフトのサポート技術情報に追記されました。
 
 
Copyright (C) Digital Advantage Corp.
このメールは、HotFix Reportにご登録いただいておりますユーザー様にお送りしています。
無断で複製・再配信などを行うことはできません。 このメールに関する問い合わせ先:info@hotfix.jp
HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。