MS04-001/816458 |
ISA Server 2000のH.323フィルタの脆弱性により、コンピュータの制御を完全に取得されてしまう危険性
|
(Microsoft Internet Security and Acceleration Server 2000 H.323 フィルタの脆弱性により、リモートでコードが実行される) |
|
|
対応策: 修正プログラムの適用作業を至急開始してください。 |
|
概要 |
ISA Server 2000がデフォルトで有効化しているH.323フィルタにバッファ・オーバーランの脆弱性が存在します。この脆弱性により、ISA
Server 2000を実行しているコンピュータで、攻撃者の任意のプログラムが実行可能となります。その結果、コンピュータを完全に制御する権限が攻撃者に奪われてしまう危険性があります。
通常ISA Serverは、社内ネットワークとインターネットの境界で利用されるため、インターネットから直接攻撃を受ける危険性が非常に高い製品です。また、ISA
Serverが実行されているコンピュータの制御が奪われると、ファイアウォールの働きを無効にして、その後、社内ネットワークへの侵入を許すような攻撃も可能です。H.323フィルタはデフォルトで有効になっているため、ISA
Serverをファイアウォールとして利用している場合には、至急、修正プログラムの適用を実施してください。
|
|
対象プラットフォーム |
修正プログラムを適用するには、以下の対象プラットフォームに示されているサービスパックの適用が必要になります。
影響を受けるソフトウェア |
対象プラットフォーム |
Internet Security and Acceleration
Server 2000 |
Windows 2000/Windows Server 2003+ISA
Server 2000 SP1/Feature Pack 1 |
Small Business Server 2000 |
Small Business Server 2000 SP未適用/SP1 |
Small Business Server 2003 |
Small Business Server 2003 |
(注意)Small Business Server
2000/2003には、ISA Server 2000が含まれています。ISA Server、SBS 2000/2003は、UpdateEXPERTのサポート対象外です。
|
|
詳細情報 |
ISA Server 2000のMicrosoft Firewallサービスにおいて、H.323フィルタがトラフィックをチェックする方法にバッファ・オーバーランの脆弱性が存在します。H.323は国際テレフォニー標準の1つで、インターネット電話を実現するVoIP(Voice
over IP)や、インターネット・テレビ会議システムなどのリアルタイム性を必要とするマルチメディア・データを扱うプロトコルとして、多くのアプリケーションがサポートしています。
攻撃者によって特別に細工されたH.323トラフィックをMicrosoft Firewallサービスが受信すると、任意のコードが実行され、コンピュータの制御が奪われてしまう危険性があります。この脆弱性を悪用したクラッキング・プログラムやワームの登場も懸念されます。
H.323フィルタは、ISA Server 2000を「統合モード」または「ファイアウォール・モード」でインストールした場合、デフォルトで有効になっています。一方「キャッシュ・モード」でインストールした場合は、Microsoft
Firewallサービスが無効になっているため、H.323フィルタは実行されていません。ただし、「キャッシュ・モード」から「統合モード」または「ファイアウォール・モード」に変更した場合、脆弱性の影響を受けるようになるのでご注意ください。
また、MS04-001の修正プログラム適用した後、VoIPを利用するためにH.323 Gatekeeperサービスを追加インストールした場合、修正プログラムの再適用が必要になります(この操作により、いったん適用したMS04-001の修正プログラムが無効になってしまいます)。なおH.323
Gatekeeperサービスは、ISA Server 2000を「標準インストール」でインストールした場合は、実行されていません。「完全インストール」を選択した場合、H.323
Gatekeeperサービスがインストールされ、サービスが自動的に開始されます。
|
|
DA Lab:HotFixテスティング・チームからのコメント |
MS04-001の修正プログラムは、適用後のコンピュータの再起動は不要です。ただし修正プログラムの適用後にISA Serverのサービスが再起動されます。そのため、ISA
Serverのサービスが再起動される間(1分程度)、通信がエラーとなります。修正プログラムの適用は、アクセスが切断されても支障がない状態で実施してください。
|
|
適用されるファイル情報 |
以下のファイルにパッチが適用されます。障害の発生が懸念される場合は、これらのファイルのバックアップを取ってください。
ファイル名 |
日付 |
バージョン |
サイズ |
ISA2000-KB816458-x86.exe |
2003/12/23 |
5.3.16.3 |
247,432
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ |
%ProgramFiles
%\Microsoft ISA Server\ |
gksvc.dll |
2003/12/16 |
3.0.1200.291 |
140,560
|
Microsoft H.323 Gatekeeper Service |
h323asn1.dll |
2003/12/16 |
3.0.1200.291 |
209,168
|
Microsoft H.323 ASN.1 Library |
h323fltr.dll |
2003/12/16 |
3.0.1200.291 |
86,800
|
Microsoft H.323 Firewall Filter |
*gksvc.dllは、H.323 Gatekeeperサービスがインストールされている場合にのみインストールされます。
|
|
確認方法 |
以下のファイルまたはレジストリ・キーを確認してください。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Hotfixes\SP1\291
またISA Server 2000のインストール先フォルダ(デフォルトでは%ProgramFiles%\Microsoft ISA Server)にgksvc.dll/h323asn1.dll/h323fltr.dllが存在する場合、そのファイル・バージョンがいずれも3.0.1200.291であることでも確認可能です。
|
|
修正プログラム |
手動で修正プログラムをインストールする場合は、以下のダウンロード先のリストで[日本語]を選択してください。
http://www.microsoft.com/downloads/details.aspx?FamilyID=CBE42990-4156-4E1D-9ACB-4CD449D9599B&DisplayLang=ja
|
|
参考情報 |
何らかの理由から、直ちに修正プログラムを適用できない場合には、以下に示す方法で問題を回避できます。ただしこの回避策は、脆弱性を根本的に解決するものではありません。
・H.323フィルタを無効化する
H.323フィルタを無効にすることで、攻撃を回避することが可能です。H.323フィルタを無効にするには、ISA Server 2000が実行されているサーバ上で以下の操作を行ってください。
- 「ISAの管理」ツールを起動します。
- 左側ペインのツリーから[拡張]−[アプリケーション フィルタ]をクリックします。
- 右側ペインに表示されている「H.323 Filter」を選択して右クリックし、[無効化]を選択します。
- 管理ツールから「サービス」を起動して、Microsoft Firewallサービスを再起動します。
H.323フィルタを無効化した場合、H.323トラフィックがMicrosoft Firewallサービスによってブロックされるため、H.323プロトコルを利用するすべてのアプリケーションが通信できなくなります。
|
|