|
深刻度
|
| → |
1(緊急) |
| |
2(重要) |
| |
3(警告) |
| |
4(注意) |
|
|
対策
|
|
至急適用
|
|
再起動の必要性
|
|
あり
|
|
対象環境
|
|
|
|
セキュリティ情報
|
|
|
|
サポート技術情報
|
|
|
|
よく寄せられる質問
|
|
|
|
アンインストール
|
|
可
|
|
含まれる過去の修正
|
|
|
|
脆弱性識別番号
|
|
|
|
更新履歴
|
| 2003/09/11 セキュリティ情報ページを公開 |
|
| MS03-039/824146 |
| RPCSSの脆弱性により、システムが乗っ取られる可能性 |
| (RPCSS サービスのバッファ オーバーランによりコードが実行される) |
| |
|
| 対応策 |
| 至急、修正プログラムの適用作業を開始してください。 |
|
| 概要 |
|
Blasterワームの攻撃対象となったMS03-026(RPCインターフェイスの脆弱性により、システムが乗っ取られる可能性)を含む、新たに確認されたRPCSS(Remote
Procedure Call Server Service)に関する3つの脆弱性に対する修正プログラムです。
RPCSSとは、RPC経由のDCOMを処理するサービスです。このRPCSSのうち、DCOMをアクティベートするために利用されるRPCメッセージを送受信する部分に新たに3つの脆弱性が見つかりました。このうち2つは未チェッ
ク・バッファの脆弱性で、攻撃者がこれらを悪用すると、ユーザーのコンピュータ上で悪意のあるプログラムが実行可能となります。もう1つの脆弱性は、DoS(拒否攻撃)を可能にするものです。
具体的には、RPCの接続が確立された後、攻撃者が特別に細工した不正なRPCメッセージをリモート・コンピュータ上のRPCSS内のDCOMアクティブ化インフラストラクチャに送信すると、バッファ・オーバーランが発生し、結果として任意のコードが実行される危険性があります。攻撃者はこの脆弱性を悪用することで、システムを乗っ取り、プログラムのインストール、データの表示/変更/削除、完全なアクセス権限を持つ新規のアカウントの作成などが可能性です。この脆弱性は、Blasterワームの原因となったMS03-026と同等の危険性があると考えられます。最悪の場合、システムが破壊(ハードディスクのフォー
マットなど)される可能性があります。また、この脆弱性を悪用したワームが登場することも予想されますので、至急、修正プログラムの適用をご検討ください。
|
|
| DA Lab:HotFixテスティング・チームからのコメント |
|
修正プログラムは、UpdateEXPERTが管理対象とするすべての適用対象プラットフォームにおいて適用テストを通過しました。
MS03-039については、すでにマイクロソフトのライフサイクル・ガイドラインによってサポートが終了したWindows NT Workstation
4.0、Windows 2000 SP2、Windows XP SP未適用に対しても、修正プログラムが提供されています。マイクロソフトによれば、「脆弱性の特性およびこの製品のサポートが終了したのがつい最近であり、また現在実際に使用されているこれらのOSの数が多いという事実から例外の措置をとることを決定しました」とのことです。Windows
NT Workstation 4.0とWindows 2000 SP2に関しては、すでに修正プログラムが提供されていない脆弱性がいくつも存在します。サポ−トが終了したOSをご利用の場合は、早急にOSのバージョン・アップまたはサービスパックの適用をご検討ください。
■Windows 2000 SP2ではMS01-041も併せて適用のこと
Windows 2000 SP2では、MS01-041(不正なRPCリクエストがサービスを異常終了させる)の修正プログラムが未適用の場合、「参考情報」に記した手順を実行してもDCOMが無効化されないという報告があります。マイクロソフトの「サポート技術情報:825750(WindowsのDCOMサポートを無効にする方法)」によれば、Windows
2000 SP3以降でなければDCOMは無効化できないとしていますが、MS01-041の修正プログラムを適用することで、Windows 2000 SP2でもDCOMの無効化が可能とのことです。ただしマイクロソフトでは、この回避方法をサポートしていません。
・マイクロソフトのサポート技術情報 825750:
http://support.microsoft.com/default.aspx?scid=kb;ja;825750
つまりWindows 2000 SP2において、MS03-039の脆弱性を回避するには、修正プログラムを適用するしかないことになります。またMS03-039の修正プログラムでは、MS01-041の脆弱性は解消されないため、MS03-039と併せてMS01-041の修正プログラムの適用も必要です。MS01-041のWindows
2000用修正プログラム(Q298012_W2k_SP3_x86_ja.exe)は、以下のダウンロード・ページで「日本語」もしくは「Japanese Language
Version」を選択してダウンロードしてください。
・MS01-041 Windows 2000 SP2用修正プログラム:
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=3E101F96-233B-4D77-B11E-9B9F92941BDD
なお、上記の修正プログラムはWindows 2000 セキュリティ ロールアップ パッケージ 1(SRP1)に含まれています。可能ならば、MS01-041よりSRP1の適用を検討してください。SRP1は以下のページからダウンロードできます。
・Windows 2000 セキュリティ ロールアップ パッケージ 1(SRP1):
http://support.microsoft.com/default.aspx?scid=kb;ja;311401
■脆弱性を発見するスキャン・ツールがアップデート
MS03-026の脆弱性を発見するスキャン・ツール「KB 823980 Scanning Tool(KB823980scan.exe)」もMS03-039対応となり、「KB
824146 Scanning Tool (KB824146scan.exe)」にアップデートされました。詳細ならびにツールのダウンロードについては、マイクロソフトの「サポート技術情報:827363」をご参照ください。
・マイクロソフトのサポート技術情報 827363(9月11日時点で英語):
http://support.microsoft.com/default.aspx?scid=kb;ja;=827363
|
|
| 追加情報(2004/01/07) |
| BlasterワームならびにNachiワームの除去ツールの提供開始 |
| 情報ソース |
マイクロソフト |
| 情報の内容 |
ツールの提供開始 |
| 発生条件 |
BlasterワームとNachiワームの感染 |
| 適用条件 |
2004年1月5日 |
|
|
マイクロソフトは、BlasterワームならびにNachiワームの除去ツールの提供を開始しました。このツールは、マイクロソフトのダウンロード・センターで入手可能です。
「TechNetセキュリティ情報:MS03-026(RPCインターフェイスの脆弱性により、システムが乗っ取られる可能性)」および「TechNetセキュリティ情報:MS03-039(RPCSSの脆弱性により、システムが乗っ取られる可能性)」の脆弱性を攻撃するBlasterワームやNachiワームに感染したコンピュータから、ワームの除去が行えます。すでにワームに感染したコンピュータ上でこのツールを実行することで、BlasterワームとNachiワームの除去が行えます。そのほかのワームについては、除去が行えませんのでご注意ください。
また、このツールはワームの感染を防止する機能は持っていません。修正プログラムを適用せずにインターネットに接続すると、再びBlasterワームなどに感染する可能性があります。ワームの除去後は、速やかにMS03-039の修正プログラムを適用してください。
・ダウンロード・センター Windows-KB833330-JPN.exe(Windows Blaster ワーム駆除ツール):
http://www.microsoft.com/downloads/details.aspx?FamilyID=e70a0d8b-fe98-493f-ad76-bf673a38b4cf&DisplayLang=ja
|
不具合の対象:
Windows 2000 SP2/SP3/SP4
Windows XP SP未適用/SP1/SP1a |
|
詳細:
BlasterワームならびにNachiワームが感染しないようにするには、「TechNetセキュリティ情報:MS03-026」「TechNetセキュリティ情報:MS03-039」の修正プログラムを適用することが重要です。しかし、修正プログラムを適用するには、インターネットへの接続が必要になります。このような場合、すでに修正プログラムが適用済みのコンピュータを用いて修正プログラムをダウンロードし、それを適用するといった作業が必要になります。不用意にインターネットへ接続してしまったことにより、BlasterワームまたはNachiワームに感染した場合は、このツールを利用することでワームの除去が可能です。
ウイルス対策ソフトウェア・ベンダ各社の報告によれば、現在でもNachiワームの活動は活発であり、未対策のコンピュータをインターネットへ接続すると高い確率で感染する危険性があります。修正プログラムの適用とウイルス対策ソフトウェアの導入などの対策を実施するのはもちろんのこと、感染したコンピュータにおいては速やかにワームの除去を行うことが重要です。BlasterワームもしくはNachiワームに感染したと思われる場合、このツールを実行し、ワームの除去を行ってください。なお、感染していないコンピュータに対し、このツールを実行しても不具合は発生しません。
|
|
|
| 対象プラットフォーム |
修正プログラムを適用するには、以下の対象プラットフォームに示されているサービスパックの適用が必要になります。
| 影響を受けるソフトウェア |
対象プラットフォーム |
| Windows NT Workstation 4.0 |
Windows NT Workstation 4.0 SP6a |
| Windows NT Server 4.0 |
Windows NT Server 4.0 SP6a |
| Windows NT Server 4.0, Terminal Server Edition |
Windows NT Server 4.0, Terminal Server Edition SP6 |
| Windows 2000 |
Windows 2000 SP2/SP3/SP4 |
| Windows XP |
Windows XP SP未適用/SP1/1a |
| Windows Server 2003 |
Windows Server 2003 |
(注意)Windows NT Server 4.0,
Terminal Server Editionは、UpdateEXPERTのサポート対象外です。また、Windows Server 2003は現在のところ対応していません。
|
|
| 適用されるファイル情報 |
以下のファイルにパッチが適用されます。障害の発生が懸念される場合は、これらのファイルのバックアップを取ってください。
・Windows NT Workstation 4.0 SP6a:
| ファイル名 |
日付 |
バージョン |
サイズ |
| WindowsNT4Workstation-KB824146-x86-JPN.EXE |
2003/08/12 |
1.16.118.0 |
1,332,392
|
| ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
| 展開ファイル |
%SystemRoot%\system32 |
| Ole32.dll |
2003/08/11 |
4.0.1381.7230 |
768,288
|
Microsoft OLE for Windows and Windows NT |
| Rpcrt4.dll |
2003/08/11 |
4.0.1381.7230 |
374,400
|
Remote Procedure Call Runtime |
| Rpcss.exe |
2003/08/11 |
4.0.1381.7230 |
115,024
|
Distribute COM Services |
・Windows NT Server 4.0 SP6a:
| ファイル名 |
日付 |
バージョン |
サイズ |
| WindowsNT4Server-KB824146-x86-JPN.EXE |
2003/08/12 |
1.16.118.0 |
1,333,624
|
| ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
| 展開ファイル |
%SystemRoot%\system32 |
| Ole32.dll |
2003/08/11 |
4.0.1381.7230 |
768,288
|
Microsoft OLE for Windows and Windows NT |
| Rpcrt4.dll |
2003/08/11 |
4.0.1381.7230 |
374,400
|
Remote Procedure Call Runtime |
| Rpcss.exe |
2003/08/11 |
4.0.1381.7230 |
115,024
|
Distribute COM Services |
・Windows NT Server 4.0, Terminal Server Edition SP6:
| ファイル名 |
日付 |
バージョン |
サイズ |
| WindowsNT4TerminalServer-KB824146-x86-JPN.EXE |
2003/08/12 |
1.16.118.0 |
736,808
|
| ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
| 展開ファイル |
%SystemRoot%\system32 |
| Ole32.dll |
2003/08/11 |
4.0.1381.39774 |
768,288
|
Microsoft OLE for Windows and Windows NT |
| Rpcrt4.dll |
2003/08/11 |
4.0.1381.39774 |
376,016
|
Remote Procedure Call Runtime |
| Rpcss.exe |
2003/08/11 |
4.0.1381.39774 |
116,624
|
Distribute COM Services |
・Windows 2000 SP2/SP3/SP4:
| ファイル名 |
日付 |
バージョン |
サイズ |
| Windows2000-KB824146-x86-JPN.exe |
2003/08/24 |
5.3.18.6 |
939,368
|
| ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
| 展開ファイル |
%SystemRoot%\system32 |
| Ole32.dll |
2003/08/23 |
5.0.2195.6810 |
945,936
|
Microsoft OLE for Windows |
| Rpcrt4.dll |
2003/08/23 |
5.0.2195.6802 |
432,912
|
Remote Procedure Call Runtime |
| Rpcss.dll |
2003/08/23 |
5.0.2195.6810 |
192,272
|
Distribute COM Services |
・Windows XP SP未適用/SP1/SP1a:
| ファイル名 |
日付 |
バージョン |
サイズ |
| WindowsXP-KB824146-x86-JPN.exe |
2003/08/26 |
5.3.18.6 |
1,543,968
|
| ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
| 展開ファイル(SP未適用) |
%SystemRoot%\system32 |
| Ole32.dll |
2003/08/26 |
5.1.2600.118 |
1,093,632
|
Microsoft OLE for Windows |
| Rpcrt4.dll |
2003/08/26 |
5.1.2600.109 |
439,296
|
Remote Procedure Call Runtime |
| Rpcss.dll |
2003/08/26 |
5.1.2600.118 |
204,288
|
Distribute COM Services |
| 展開ファイル(SP1/1a) |
%SystemRoot%\system32 |
| Ole32.dll |
2003/08/26 |
5.1.2600.1263 |
1,172,992
|
Microsoft OLE for Windows |
| Rpcrt4.dll |
2003/08/26 |
5.1.2600.1254 |
532,480
|
Remote Procedure Call Runtime |
| Rpcss.dll |
2003/08/26 |
5.1.2600.1263 |
260,608
|
Distribute COM Services |
・Windows Server 2003:
| ファイル名 |
日付 |
バージョン |
サイズ |
| WindowsServer2003-KB824146-x86-JPN.exe |
2003/08/24 |
5.3.17.19 |
2,041,120
|
| ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
| 展開ファイル |
%SystemRoot%\system32 |
| Ole32.dll |
2003/08/23 |
5.2.3790.80 |
1,183,744
|
Microsoft OLE for Windows |
| Rpcrt4.dll |
2003/08/23 |
5.2.3790.76 |
657,920
|
Remote Procedure Call Runtime |
| Rpcss.dll |
2003/08/23 |
5.2.3790.80 |
284,672
|
Distribute COM Services |
|
|
| 確認方法 |
|
修正プログラムが正しく適用されたことを確認するには、UpdateEXPERT上で該当する修正プログラムの「インストール ステータス アイコン」がグレーから緑色に変わったことをご確認ください。「適用されるファイル情報」で示したファイルに置き換わっていることでも確認できます。また、Windows
2000/XP/Windows Server 2003の各クライアント上では、以下のレジストリ・キーが登録されていることでも確認できます。
・Windows 2000:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB824146
・Windows XP SP未適用:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB824146
・Windows XP SP1/SP1a:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB824146
・Windows Server 2003:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB824146
|
|
| 修正プログラム |
|
手動で修正プログラムをインストールする場合は、以下のダウンロード先のリストで[日本語]を選択してください。
・Windows NT Workstation 4.0 SP6a:
http://www.microsoft.com/downloads/details.aspx?FamilyID=7eabad74-9ca9-48f4-8db5-cf8c188879da&DisplayLang=ja
・Windows NT Server 4.0 SP6a:
http://www.microsoft.com/downloads/details.aspx?FamilyID=71b6135c-f957-4702-b376-2dacce773dc0&DisplayLang=ja
・Windows NT Server 4.0, Terminal Server Edition SP6a: http://www.microsoft.com/downloads/details.aspx?FamilyID=677229f8-fbbf-4ff4-a2e9-506d17bb883f&DisplayLang=ja
・Windows 2000 SP2/SP3/SP4:
http://www.microsoft.com/downloads/details.aspx?FamilyID=f4f66d56-e7ce-44c3-8b94-817ea8485dd1&DisplayLang=ja
・Windows XP SP未適用/SP1/SP1a:
http://www.microsoft.com/downloads/details.aspx?FamilyID=5fa055ae-a1ba-4d4a-b424-95d32cfc8cba&DisplayLang=ja
・Windows Server 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyID=51184d09-4f7e-4f7b-87a4-c208e9ba4787&DisplayLang=ja
また、MS03-039の修正プログラムは、Windows NT Server 4.0, Terminal Server Editionを除いて、Windows
Updateからも適用可能です。
|
|
| 参考情報 |
|
何らかの理由から、直ちに修正プログラムを適用できない場合には、MS03-026と同様、以下に示す方法で問題を回避できます。ただしこの回避策は、脆弱性を根本的に解決するものではありません。
・ファイアウォールなどでUDPポート135/137/138/445ならびにTCPポート135/139/445/593をブロックし、さらにCOMインターネット
・サービス(CIS)およびRPC over HTTPを無効に設定する
UDPポート135/137/138/445ならびにTCPポート135/139/445/593をファイアウォールなどによりブロックすることで、インターネットからの攻撃を回避することが可能です。Windows
XPならびにWindows Server 2003の場合は、インターネット接続の「インターネット接続ファイアウォール」を有効にすることでインターネットからのRPCトラフィック受信をブロックすることができます。ただし、ファイアウォール内部(社内)からの攻撃に対しては、この方法では回避できません。また、CISおよびRPC
over HTTPが有効に設定されているコンピュータは、これらを無効にする必要があります。CISおよびRPC over HTTPを無効にする手順については、マイクロソフトの「サポート技術情報:825819」をご参照ください。
・マイクロソフトのサポート技術情報 825819:
http://support.microsoft.com/default.aspx?scid=kb;ja;825819
・DCOMを無効化
DCOMを無効にすることでも、MS03-039の脆弱性を回避することができます。
- [スタート]−[ファイル名を指定して実行]で「Dcomcnfg.exe」を起動します。Windows NT 4.0もしくはWindows 2000の場合は、ここで[分散
COM の構成のプロパティ]ダイアログ・ボックスが開きます。Windows XPもしくはWindows Server 2003の場合は、[コンポーネント サービス]ウィンドウが開くので、コンソールルート下の
[コンポーネント サービス]ノードをクリックし、[コンピュータ]サブフォルダを開きます。さらに[マイコンピュータ]上で右クリックし、[プロパティ]を選択します。
- [既定のプロパティ]タブをクリックします。
- [このコンピュータ上で分散 COM を有効にする]チェック・ボックスをオフにします。
- [OK]ボタンをクリックし、変更を適用します。
ただしDCOMを無効にした場合、ほかのコンピュータとのオブジェクト間通信がすべて無効になるため、不具合の生じるアプリケーションもあります。設定には十分ご注意ください。
|
|
| 予想適用時間 |
| 修正プログラム名 |
50台 |
100台 |
250台 |
500台 |
WindowsNT4Workstation-KB824146-x86-JPN.EXE
(Windows NT Workstation 4.0)
|
19分 |
27分 |
53分 |
1時間35分 |
WindowsNT4Server-KB824146-x86-JPN.EXE
(Windows NT Server 4.0)
|
19分 |
27分 |
53分 |
1時間35分 |
Windows2000-KB824146-x86-JPN.exe
(Windows 2000)
|
18分 |
27分 |
52分 |
1時間35分 |
WindowsXP-KB824146-x86-JPN.exe
(Windows XP)
|
19分 |
27分 |
53分 |
1時間35分 |
この表は、1コンソールのUpdateEXPERTで、今回の修正プログラムを適用するのにかかる時間を概算したものです。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なります。あくまでも目安としてご利用ください。
|
|
| UpdateEXPERT上の表示 |
|
・Windows NT Workstation 4.0 SP6a:
[展開ビュー]−[OS]タブに「名前:WindowsNT4Workstation-KB824146-x86-JPN.EXE」で登録
・Windows NT Server 4.0 SP6a:
[展開ビュー]−[OS]タブに「名前:WindowsNT4Server-KB824146-x86-JPN.EXE」で登録
・Windows 2000 SP2/SP3/SP4:
[展開ビュー]−[OS]タブに「名前:Windows2000-KB824146-x86-JPN.exe」で登録
・Windows XP SP未適用/SP1/SP1a:
[展開ビュー]−[OS]タブに「名前:WindowsXP-KB824146-x86-JPN.exe」で登録
|
| |
|
