MS05-007/888302 |
名前付きパイプの認証処理の脆弱性により、情報漏えいが起きる危険性 |
(Windows の脆弱性により、情報漏えいが起こる) |
緊急対応度:適用作業の早期開始
|
危険性 |
脆弱性による危険性を示す。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性がある。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示す。 |
|
Windows XPの名前付きパイプに対する匿名接続時の処理に脆弱性があり、情報漏えいが発生する危険がある。これにより、共有リソースにアクセスしているユーザーの情報(ユーザー名)が読み取られる危険性がある。コードが実行されるなどの危険性はないが、攻撃を行うための情報収集に悪用される懸念がある。
マイクロソフトによれば、MS05-007の脆弱性は非公開で報告されたとしており、実証コードや攻撃例は確認されていないという。ただし、最近では脆弱性が公開されると、1カ月程度で実証コードや悪用した攻撃が現れるので注意が必要だ。脆弱性を悪用した攻撃が開始される前に、なるべく早く修正プログラムを適用した方がよい。
|
概要
|
Windows XPが、名前付きパイプを利用した匿名ログオンのユーザーに対しても、コンピュータ名やユーザー名が列挙されてしまう、情報漏えいの脆弱性が存在する。本来ならば、匿名ログオンによる接続時には列挙を禁止しなければならないはずだが、Windows
XPでは正しく制限されない。
攻撃者は、細工したリクエストを、共有リソースを公開しているサーバに送信することで、共有リソースに接続したユーザーのユーザー名情報をリモートから窃取できる。名前付きパイプは、同一コンピュータ上のプロセス間通信や、ネットワーク上の別のコンピュータ同士でのプロセス間通信を可能にするしくみである。
修正プログラムをすぐに適用できない場合には、コンピュータ・ブラウザ・サービス*1を停止し、コンピュータを再起動することで、脆弱性の影響を回避できる。ブラウザ・サービスが無効または停止になっていると、細工したリクエストが送信されても情報は開示されなくなる。
*1 コンピュータ・ブラウザ・サービスとは、ドメイン名やワークグループ名の一覧とともに、リソースを共有しているクライアントの一覧を提供するサービスである。コンピュータ・ブラウザ・サービスにより、[マイ
ネットワーク]にコンピュータ名の一覧]が表示され、容易にほかのコンピュータのリソースへアクセスできるようになる。コンピュータ・ブラウザ・サービスについては、「サポート技術情報:188001」を参照のこと。
・サポート技術情報 188001(コンピュータ ブラウザ サービスについて):
http://support.microsoft.com/default.aspx?scid=kb;ja;188001
|
対象プラットフォーム
|
影響を受けるソフトウェア |
対象プラットフォーム |
Windows XP |
Windows XP SP1/SP1a/SP2 |
|
|
‥‥‥ DA Lab:HotFixテスティング・チームからのコメント
‥‥‥
|
■適用テストの結果
DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。
プラットフォーム
|
適用テスト結果
|
Windows XP Professional SP1 |
○
|
Windows XP Professional SP1a |
○
|
Windows XP Professional SP2 |
○
|
■Windows XP SP未適用向け修正プログラムは提供されない
Windows XP SP未適用は2004年9月30日にサポート・ライフサイクルが終了したため、MS05-007の修正プログラムは提供されない。Windows
XP SP未適用を利用している場合は、SP1a/SP2を適用してから対応する修正プログラムを適用する必要がある。
■Windows XP SP2でも設定によって脆弱性が存在する
ドメインに属していないWindows XP SP2は、デフォルトでコンピュータ・ブラウザ・サービスが「無効」になっている。Windowsファイアウォールが「無効」もしくは、ファイルやプリンタの共有機能が有効になっている場合は、コンピュータ・ブラウザ・サービスが開始されている。つまり設定によってコンピュータ・ブラウザ・サービスが開始されるため、Windows
XP SP2であっても修正プログラムの適用は必須である。
■MBSA 1.21の結果
MS05-007の修正プログラムが正しく適用されているかどうかは、MBSA 1.21で確認可能だ。未適用の場合は、「Windowsのセキュリティの更新」の「結果の詳細情報」に、「Windows
の脆弱性により、情報漏えいが起こる (888302)」が表示される。
|
|
|
プラットフォーム |
ダウンロード・センター |
Windows Update/SUSの表示 |
Windows XP SP1/SP1a/SP2 |
|
Windows XP 用セキュリティ更新プログラム (KB888302) |
|
|
|
以下のファイルにパッチが適用される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。
Windows XP SP1/SP1a/SP2:
ファイル名 |
日付 |
バージョン |
サイズ |
WindowsXP-KB888302-x86-JPN.exe |
2004/12/08 |
1.0.0.0 |
399,080
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ
(sp1qfe) |
%SystemRoot%\system32\ |
srvsvc.dll |
2004/12/08 |
5.1.2600.1613 |
79,872
|
Server Service DLL |
展開フォルダ
(sp2gdr/sp2qfe) |
%SystemRoot%\system32\ |
srvsvc.dll |
2004/12/08 |
5.1.2600.2577 |
96,768
|
Server Service DLL |
|
|
|
修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。
・Windows XP SP1/SP1a/SP2:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP3\KB888302\Filelist以下のファイル一覧を確認する
|
|
|
何らかの理由から直ちに修正プログラムを適用できない場合には、以下に示す方法で脆弱性の回避が可能だ。ただしこの回避策は、脆弱性を根本的に解決するものではない。
■コンピュータ・ブラウザ・サービスを無効にする
以下の手順でコンピュータ・ブラウザ・サービスを無効にすることで、脆弱性が回避できる。
- [管理ツール]−[サービス]をダブルクリックする。
- [サービス]ウィンドウの右側ペインから「Computer Browser」を見つけ、ダブルクリックする。
- 「スタートアップの種類」を「無効」に変更する。
- 「サービスの状態」の[停止]ボタンをクリックして、サービスを停止させる。
- [OK]ボタンをクリックし、コンピュータを再起動する。
なおコンピュータ・ブラウザ・サービスを無効にすると、[マイ ネットワーク]によってネットワーク上のコンピュータの一覧を得ることなどができなくなるので注意が必要だ。
■TCPポート139番/445番の受信をファイアウォールでブロックする
TCPポート139番/445番を利用して、コンピュータ・ブラウザ・サービスとの接続が開始される。これらのポートへの受信をファイアウォールでブロックすることで、インターネット経由の攻撃を回避できる。なお、組織内のネットワークに接続されたコンピュータのパーソナル・ファイアウォールでこの回避策を実施すると、ファイル共有などのサービスが利用できなくなるなどの弊害もあるので注意していただきたい。
|
予想適用時間
|
修正プログラム名 |
50台 |
100台 |
250台 |
500台 |
WindowsXP-KB888302-x86-JPN.exe
(Windows XP SP1/SP1a/SP2) |
18分 |
27分 |
52分 |
1時間34分 |
1コンソールのUpdateEXPERT 6.1で、今回の修正プログラムを適用するのにかかる時間を概算したもの。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なる。あくまでも目安として利用してほしい。
|
UpdateEXPERT上の表示
|
・Windows XP SP1/SP1a/SP2:
[展開ビュー]−[OS]タブに「名前:WindowsXP-KB888302-x86-JPN.exe」で登録
|
|