WINSの脆弱性により、サービスが異常終了させられる危険性

　Windowsインターネット・ネーム・サービス（WINS）がパケットの長さを検証する方法に脆弱性が存在し、Windows Server 2003ではサービスが異常終了させられる危険性があります。Windows Server 2003の場合、WINSサーバが特別に細工されたパケットを受信すると、セキュリティ機能が働いて、サービスを強制的に終了します。Windows Server 2003では、WINSサーバが異常終了した場合、デフォルトで自動的に再起動を行います。ただしWINSサーバが3回異常終了した場合、それ以上の自動的な再起動は行われません。この結果として、WINSサーバへのサービス拒否攻撃が可能になります。この場合、管理者は手動でWINSサービスの再起動を行い、機能を回復する必要があります。

　マイクロソフトによれば、Windows NT Server 4.0とWindows 2000 ServerのWINSサーバは、今回の脆弱性を攻撃するパケットの処理自体を拒否するため、サービス拒否や任意のコードの実行は起こらないとしています。つまり、これらのOSでは、脆弱性の直接的な影響を受けません。ただしマイクロソフトは、「今後この脆弱性を悪用する方法が見つけられた場合の予防として、この脆弱性の影響を受けるコードを修正するセキュリティ修正プログラムをリリースしました」と述べています。

　WINSサーバはデフォルトではインストールされません。しかしドメイン・サーバなどでは、WINSサーバをインストールしている場合があります。Windows Server 2003でWINSサーバを起動している場合は、なるべく早く修正プログラムの適用を行ってください。またWindows NT Server 4.0とWindows 2000 Serverについては、危険性はそれほど高くないと思われますが、念のため定期メンテナンス時などに修正プログラムを適用してください。

　WINSは、IPアドレスからNetBIOSのコンピュータ名へ、またはNetBIOSコンピュータ名からIPアドレスへ変換する機能を提供する名前解決のサービスです。WINSにより、IPアドレスではなく、コンピュータ名によってリソース（ファイル・サーバやネットワーク・プリンタなど）の検索などが行えるようになります。

　Windows Server 2003のWINSサーバが特別に細工されたネットワーク・メッセージを受信すると、バッファ・オーバーランを起こします。Windows Server 2003に備わっているセキュリティ機能は、バッファ・オーバーランの発生を検知すると、そのサービスを強制終了します。これによりWindows Server 2003上で、WINSサーバが異常終了することになります。

　Windows NT Server 4.0とWindows 2000 ServerのWINSサーバは、特別な細工がされたパケットを拒否するため、サービス拒否や任意のコードの実行は起きません。ただし、メッセージの長さを適切に検証しない処理が存在するため、潜在的な脆弱性は存在しています。そこで修正プログラムでは、この処理を修正し、脆弱性を解消しています。

　修正プログラムは、UpdateEXPERTが管理対象とするすべての適用対象プラットフォームにおいて適用テストを通過しました。

■WINSをインストールしていない環境の修正プログラム適用は不要
　WINSサーバをインストールしていない環境では、MS04-006の修正プログラムを適用する必要はありません。ただしその後、WINSサーバをインストールした場合は、修正プログラムを忘れずに適用してください。

　なおWINSがインストールされていないWindows 2000 ServerとWindows Server 2003に対して、修正プログラムの適用を行うと、脆弱性が解消されたwins.exeがdllcacheに保存されます。ただしDA LabがWindows 2000 Serverに対して調査したところによれば、その後、WINSサーバのインストールを行い、再起動を実行しても、自動的にdllcacheから新しいwins.exeがコピーされることはありませんでした（%SystemRoot%\System32フォルダとdllcacheフォルダで異なるバージョンのwins.exeが存在することになります）。またWindows NT Server 4.0の場合、dllcacheの機能が存在しないため、WINSがインストールされていない環境に対して修正プログラムの適用を行っても、ファイルの更新はまったく行われません。つまり、事前に修正プログラムを適用していても、あとからWINSサーバをインストールした場合は、修正プログラムの再適用が必要になることにご注意ください。

　以下のレジストリ・キーが作成されていることを確認してください。

・Windows NT Server 4.0 SP6a：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Hotfix\KB830352

・Windows NT Server 4.0, Terminal Server Edition SP6：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Hotfix\KB830352

・Windows 2000 Server SP2／SP3／SP4：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB830352

・Windows Server 2003：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB830352

　手動で修正プログラムをインストールする場合は、以下のダウンロード先のリストで［日本語］を選択してください。

・Windows NT Server 4.0 SP6a：
http://www.microsoft.com/downloads/details.aspx?FamilyId=67F91E33-E2EC-4CE9-B55B-509240B1A973&displaylang=ja

・Windows NT Server 4.0, Terminal Server Edition SP6：
http://www.microsoft.com/downloads/details.aspx?FamilyId=FCAF39A9-73BD-4B7F-9DC1-ACED9FE61852&displaylang=ja

・Windows 2000 Server SP2／SP3／SP4：
http://www.microsoft.com/downloads/details.aspx?FamilyId=FD38BD3F-2E56-45B8-B8B2-C5C798B0E70D&displaylang=ja

・Windows Server 2003：
http://www.microsoft.com/downloads/details.aspx?FamilyId=AA95192E-5B0B-45F0-B4AE-E228B0625F2D&displaylang=ja

　また、Windows NT Server 4.0, Terminal Server Editionを除く全プラットフォームに対して、Windows UpdateからMS04-006の修正プログラムを適用することもできます。

　何らかの理由から、直ちに修正プログラムを適用できない場合には、以下に示す方法で問題を回避できます。ただしこの回避策は、脆弱性を根本的に解決するものではありません。

・ファイアウォールでTCPポート42番とUDPポート137番などをブロックする
　リモートのWINSサーバとの接続を開始するために使用するTCPポ－ト42番とUDPポート137番を、ファイアウォールでブロックします（通常、これらのポートはファイアウォールのデフォルト設定でブロックされています）。これにより、インターネットからWINSサーバへの攻撃をある程度回避できます。ただし、WINSではこのほかのポートも利用するため、この2つのポートをブロックしただけでは完全に攻撃を回避できない点にご注意ください。

・Windows NT Server 4.0 SP6a：
　［展開ビュー］－［OS］タブに「名前：NT4SVR-KB830352-x86-JPN.EXE」で登録

・Windows NT Server 4.0, Terminal Server Edition SP6：
　UpdateEXPERTのサポート対象外です。修正プログラムをダウンロードしてから、管理対象コンピュータにて手動で適用を行ってください。

・Windows 2000 Server SP2／SP3／SP4：
　［展開ビュー］－［OS］タブに「名前：Windows2000-KB830352-x86-JPN.EXE」で登録

・Windows Server 2003：
　現在、UpdateEXPERTのサポート対象外です。 Windows Updateなどを利用して適用を行ってください。