ウイルス対策ソフトウェア・ベンダ各社は、MS03-026(RPCインターフェイスの脆弱性により、システムが乗っ取られる可能性)の脆弱性を悪用するワーム「Blaster(ブラスター)」の危険度を引き上げました(名称はウイルス対策ソフトウェア・ベンダによって異なり、トレンドマイクロは「WORM_MSBLAST.A」、
シマンテックは「W32.Blaster.Worm」、ネットワークアソシエイツ は「W32/Lovsan.worm」と呼んでいます)。
■Blasterの攻撃手法(2003/08/18下線部修正)
Blasterの詳細については、Symantecのレポート「Microsoft DCOM PRC Worm Alert」に詳しく解説されています。
・Symantec DeepSight Threat Management System:Microsoft DCOM PRC Worm Alert(英語:PDFファイル)
https://tms.symantec.com/members/AnalystReports/030811-Alert-DCOMworm.pdf
このレポートによれば、Blasterの感染手順は次の通りです。BlasterはWindows OSに感染すると、「BILLY」というミューテックス(スレッドの同期を制御するために使用されるWin32のカーネル・オブジェクト)を作成します。次に、レジストリに以下のキーを登録し、Windowsの起動時にmsblast.exe(ワームの実行ファイル)が自動実行されるように設定します。
キー:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
値 :"windows auto update" = "MSBLAST.EXE" |
その後、次の攻撃先を決めるためにIPアドレスの生成を次の手順で行います。
- ランダムな値を20で割り、その余りが12以上の場合、ターゲットをローカルIPアドレスに設定します(→ 2へ)。12未満の場合は、新しいIPアドレスをランダムに生成します。
- ローカル・ホストのIPアドレス(A.B.C.D)のDに0をセットします。もし、Cが20よりも大きかった場合、Cを20以下のランダムを引き、その値をCとしてIPアドレスを生成します。
こうして生成したIPアドレスに対して、TCPポート135にデータを送信し、MS03-026の脆弱性を持つコンピュータを探します。新しい脆弱性を持つコンピュータが見つかった場合、単純なファイル転送機能を提供するtftpサーバを起動し、新しいコンピュータ上にTCPポート4444で待機するリモート・シェルを作成します。このシェルからtftpのgetコマンドを起動させ、感染元のコンピュータからmsblast.exeを転送し、新しいコンピュータ上でmsblast.exeを実行します。あとは、同じことを繰り返して感染を広げていきます。
Blasterに感染によって、Windows OSの書き換えやデータの破壊を行う例は報告されていませんが、感染活動によってWindows OSが異常終了することがあります。また、感染活動を行うにあたり、ネットワークの帯域を消費するため、ネットワークのスループットが大幅に低下します。
対策としては、MS03-026で提供された修正プログラムを適用するとともに、ファイアウォールなどインターネットとの接点でTCP/UDP 135、UDP
137、UDP 138、TCP 445、TCP 593の各ポートを閉じることが重要です。
■Internet Security SystemsがMS03-026の脆弱性を持つコンピュータの検出ツールを提供
Internet Security Systems(ISS)は、MS03-026の脆弱性を持つコンピュータを検出するツール「Scanms」の提供を開始しました。Scanmsは、コマンドライン・ツールで、以下のコマンド・ラインによりIPアドレスの指定範囲を検索し、MS03-026の修正プログラムが適用されていないコンピュータを検出します。
scanms.exe [開始IPアドレス]-[終了IPアドレス] |
開始IPアドレスを「192.168.0.1」、終了IPアドレスを「192.168.0.100」として実行すると、以下のように結果が表示されます。
c:\> scanms.exe 192.168.0.1-192.168.0.100
---- ScanMs Tool --- (c) 2003 Internet Security Systems ---
Scans for systems vulnerable to MS03-026 vuln
More accurate for WinXP/Win2k, less accurate for WinNT
ISS provices no warrantees for any purpose, use at own risk
IP Address REMACT SYSACT DCOM Version
-----------------------------------------------------
192.168.0.31 [....] [ptch] 0.0
192.168.0.55 [ptch] [ptch] 5.6
192.168.0.54 [ptch] [ptch] 5.6
192.168.0.100 [....] [ptch] 0.0
192.168.0.51 [ptch] [ptch] 5.6
192.168.0.70 [ptch] [ptch] 5.6
192.168.0.57 [ptch] [ptch] 5.6
192.168.0.56 [....] [VULN] 0.0
192.168.0.69 [ptch] [ptch] 5.6
192.168.0.53 [ptch] [ptch] 5.6
192.168.0.71 [ptch] [ptch] 5.6
|
「REMACT」「SYSACT」の2種類の検出方法(検出方法については不明)を試しているため、それぞれについて結果が表示されます。片方でも[VULN]と表示されている場合は、修正プログラムが適用されていない可能性があります。
・ISSのMS03-026の脆弱性検出ツールのダウンロード・ページ:
http://www.iss.net/support/product_utilities/ms03-026rpc.php
■Windows 2000 SP2も修正プログラムの対象プラットフォームに追加
MS03-026の脆弱性を悪用するワーム「Blaster」の感染が拡大しているためか、マイクロソフトはすでにサポート対象外となっているWindows 2000
SP2についても、MS03-026の修正プログラムの適用対象に追加しました。ただし、Windows 2000 SP2では最低限のテストのみを実施したとされているため、互換性問題などが発生する可能性も否定できません。なお、マイクロソフトの「サポート技術情報:823980」によれば、Windows
NT Workstation 4.0 SP6aに対しても修正プログラムの適用が可能であるということです。ただし、Windows NT Workstation
4.0 SP6aに対しては、正式に適用対象とはなっていません。
また、Windows NT 4.0 SP6aならびにWindows 2000 SP2において、RPCの脆弱性を解消するには、MS03-026の修正プログラムのほか、MS01-041(不正なRPCリクエストがサービスを異常終了させる)で提供されている修正プログラムの適用が必要です。必ず、MS01-041とMS03-026の両修正プログラムを適用してください。HotFixテスティング・チームの修正プログラム適用テストの結果、MS03-026の適用後にMS01-041の適用も可能でした(ファイルのバージョンが戻ることはありませんでした)。なおMS01-041は、Windows
2000 SP3に含まれているため、Windows 2000 SP3/SP4には修正プログラムを適用する必要はありません。
MS01-041の修正プログラムは、以下のダウンロード・ページで「日本語」もしくは「Japanese Language Version」を選択してダウンロードしてください。なお、Windows
NT 4.0 SP6aに対するMS01-041の修正プログラムは単体では配布されておらず、ほかのセキュリティ修正プログラムを集積した「セキュリティ ロールアップ
パッケージ」に含まれています。
・MS01-041 Windows 2000 SP2用修正プログラム:
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=3E101F96-233B-4D77-B11E-9B9F92941BDD
・Windows NT 4.0 SP6a用修正プログラム(セキュリティ ロールアップ パッケージ):
http://www.microsoft.com/ntserver/nts/downloads/critical/q299444/default.asp
|