| MS05-011/885250 |
| 受信SMBパケットの検証処理の脆弱性により、任意のコードが実行される危険性 |
| (サーバー メッセージ ブロックの脆弱性により、リモートでコードが実行される) |
緊急対応度:適用作業の至急開始
|
| 危険性 |
脆弱性による危険性を示す。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性がある。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示す。 |
|
|
特定の受信SMB(サーバ・メッセージ・ブロック)パケットの検証処理に脆弱性が存在し、細工されたパケットを受信するとコードが実行されたり、コンピュータの制御が完全に奪われたりする危険性がある。SMBはWindows
OS標準のプロトコルの1つだが、この脆弱性は実装に依存するため、Windows 98/98SE/Meには影響しないとしている。
攻撃は、細工したSMBパケットを送信することに加え、Webページや電子メール上のURLをユーザーがクリックするように仕向けることなどによって実行可能である。そのため、インターネットを経由した攻撃が行われる危険性がある。また脆弱性の対象OSが多いため、ワームやウイルスに悪用された場合には、影響が広範に及ぶ可能性が高い。
マイクロソフトによれば、MS05-011の脆弱性は非公開で報告されたとしており、実証コードや攻撃例は確認されていないという。ただし、最近では脆弱性が公開されると、1カ月程度で実証コードや悪用した攻撃が現れるので注意が必要だ。ワームなどへの悪用が行われる前に、修正プログラムを適用しておきたい。
|
概要
|
|
SMBはCIFSとも呼ばれ、Windows OSがファイルやプリンタ、シリアル・ポートを共有したり、コンピュータ間で通信を行ったりする際に利用するWindowsネットワークの標準プロトコルである。割り当てられたバッファにデータを渡す前に、Windows
OSがSMBパケットを検証する方法に脆弱性が存在する。以下のような攻撃が予想されている。
- 細工したメッセージを送信する。
- 脆弱性を悪用するプログラムをリンク先としたURLをWebページに張ったり、電子メールで送ったりして、ユーザーにそのURLをクリックするように仕向ける。
- 脆弱性が存在するコンポーネントにパラメータを渡すプログラムを実行させる。
SMBは、Windows OS標準のプロトコルであり、多くのWindowsコンピュータがSMBベースの通信を実行している。また前述したとおり、今回の脆弱性はインターネット経由の攻撃が可能であるため、脆弱性がワームなどに悪用された場合、Blaster級の影響が出る危険性がある。
|
対象プラットフォーム
|
| 影響を受けるソフトウェア |
対象プラットフォーム |
| Windows 2000 |
Windows 2000 SP3/SP4 |
| Windows XP |
Windows XP SP1/SP1a/SP2 |
| Windows Server 2003 |
Windows Server 2003 |
|
| |
‥‥‥ DA Lab:HotFixテスティング・チームからのコメント
‥‥‥
|
|
■適用テストの結果
DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。
|
プラットフォーム
|
適用テスト結果
|
| Windows 2000 Professional SP3 |
○
|
| Windows 2000 Professional SP4 |
○
|
| Windows 2000 Server SP4 |
○
|
| Windows 2000 Advanced Server SP3 |
○
|
| Windows XP Professional SP1 |
○
|
| Windows XP Professional SP1a |
○
|
| Windows XP Professional SP2 |
○
|
| Windows Server 2003, Standard Edition |
○
|
| Windows Server 2003, Enterprise Edition |
○
|
■Windows NT 4.0 SP6a/2000 SP2/XP SP未適用向け修正プログラムは提供されない
Windows NT Workstation 4.0 SP6a/2000 SP2は2004年6月30日に、Windows XP SP未適用は2004年9月30日にそれぞれサポート・ライフサイクルが終了したため、MS05-010の修正プログラムは提供されない。Windows
2000 SP2はSP3またはSP4を適用してから、Windows XP SP未適用はSP1a/SP2を適用してから、それぞれ対応する修正プログラムを適用する。
また、Windows NT Server 4.0も2004年12月31日でサポート・ライフサイクルが終了しており、MS05-011の修正プログラムは提供されない。そのため、Windows
NT 4.0 SP6aについては、脆弱性を解消する手段がないため、OS自体のバージョンアップが必要となる。
■MBSA 1.21の結果
MS05-011の修正プログラムが正しく適用されているかどうかは、MBSA 1.21で確認可能だ。未適用の場合は、「Windowsのセキュリティの更新」の「結果の詳細情報」に、「サーバー
メッセージ ブロックの脆弱性により、リモートでコードが実行される (885250)」が表示される。
|
| |
|
|
| プラットフォーム |
ダウンロード・センター |
Windows Update/Office Update/SUSの表示 |
| Windows 2000 SP3/SP4 |
|
Windows 2000 用セキュリティ更新プログラム (KB885250) |
| Windows XP SP1/SP1a/SP2 |
|
Windows XP 用セキュリティ更新プログラム (KB885250) |
| Windows Server 2003 |
|
Windows Server 2003 用セキュリティ更新プログラム (KB885250) |
|
| |
|
|
以下のファイルにパッチが適用される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。
Windows 2000 Server SP3/SP4:
| ファイル名 |
日付 |
バージョン |
サイズ |
| Windows2000-KB885250-x86-JPN.EXE |
2005/01/20 |
1.0.0.0 |
672,248
|
| ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
| 展開フォルダ |
%SystemRoot%\system32\ |
| sp3res.dll |
2005/01/06 |
5.0.2195.7017 |
492,544
|
Service Pack 3 Messages |
| |
%SystemRoot%\system32\drivers\ |
| mrxsmb.sys |
2005/01/20 |
5.0.2195.7023 |
413,104
|
Windows NT SMB Minirdr |
| rdbss.sys |
2004/12/03 |
5.0.2195.7006 |
170,512
|
Redirected Drive Buffering SubSystem Driver |
Windows XP SP1/SP1a/SP2:
| ファイル名 |
日付 |
バージョン |
サイズ |
| WindowsXP-KB885250-x86-JPN.exe |
2005/01/20 |
1.0.0.0 |
789,224
|
| ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ
(sp1qfe) |
%SystemRoot%\system32\ |
| cscdll.dll |
2004/10/28 |
5.1.2600.1599 |
91,136
|
Offline Network Agent |
| |
%SystemRoot%\system32\drivers\ |
| mrxsmb.sys |
2005/01/19 |
5.1.2600.1620 |
440,064
|
Windows NT SMB Minirdr |
| rdbss.sys |
2004/10/13 |
5.1.2600.1599 |
170,112
|
Redirected Drive Buffering SubSystem Driver |
展開フォルダ
(sp2gdr/sp2qfe)
|
%SystemRoot%\system32\drivers\ |
| mrxsmb.sys |
2005/01/19 |
5.1.2600.2598 |
451,584
|
Windows NT SMB Minirdr |
Windows Server 2003:
| ファイル名 |
日付 |
バージョン |
サイズ |
| WindowsServer2003-KB885250-x86-jpn.exe |
2005/01/20 |
1.0.0.0 |
609,008
|
| ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ
(RTMGDR)
|
%SystemRoot%\system32\drivers\ |
| mrxsmb.sys |
2005/01/19 |
5.2.3790.252 |
394,240
|
Windows NT SMB Minirdr |
展開フォルダ
(RTMQFE)
|
%SystemRoot%\system32\drivers\ |
| mrxsmb.sys |
2005/01/19 |
5.2.3790.252 |
395,776
|
Windows NT SMB Minirdr |
| rdbss.sys |
2004/10/12 |
5.2.3790.221 |
158,208
|
Redirected Drive Buffering SubSystem Driver |
|
| |
|
|
|
修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。
・Windows 2000 SP3/SP4:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB885250\Filelist以下のファイル一覧を確認する
・Windows XP SP1/SP1a/SP2:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP3\KB885250\Filelist以下のファイル一覧を確認する
・Windows Server 2003:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB885250\Filelist以下のファイル一覧を確認する
|
| |
|
|
|
何らかの理由から直ちに修正プログラムを適用できない場合には、以下に示す方法で脆弱性の回避が可能だ。ただしこの回避策は、脆弱性を根本的に解決するものではない。
■TCPポート139番/445番の送受信をファイアウォールでブロックする
SMBは、TCPポート139番/445番を利用して接続を開始する。これらのポートをファイアウォールでブロックすることで攻撃を回避できる。またそのほかのポートによる攻撃を回避するためには、受信側が送信を要求していない受信をブロックする必要がある。なおIPX/SPXなどのプロトコルも、脆弱性の影響を受ける可能性がある。これらのプロトコルが使用されている場合は、対応したポートをブロックすること。
関連情報:
・@IT/Windows Server Insider(ポート445(ダイレクト・ホスティングSMBサービス)に注意):
http://www.atmarkit.co.jp/fwin2k/win2ktips/088directhostedsmb/
088directhostedsmb.html
|
予想適用時間
|
| 修正プログラム名 |
50台 |
100台 |
250台 |
500台 |
Windows2000-KB885250-x86-JPN.EXE
(Windows 2000 SP3/SP4) |
18分 |
27分 |
52分 |
1時間34分 |
WindowsXP-KB885250-x86-JPN.exe
(Windows XP SP1/SP1a/SP2) |
18分 |
27分 |
52分 |
1時間34分 |
WindowsServer2003-KB885250-x86-jpn.exe
(Windows Server 2003) |
18分 |
27分 |
52分 |
1時間34分 |
1コンソールのUpdateEXPERT 6.1で、今回の修正プログラムを適用するのにかかる時間を概算したもの。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なる。あくまでも目安として利用してほしい。
|
UpdateEXPERT上の表示
|
|
・Windows 2000 Server SP3/SP4:
[展開ビュー]−[OS]タブに「名前:Windows2000-KB885250-x86-JPN.EXE」で登録
・Windows XP SP1/SP1a/SP2:
[展開ビュー]−[OS]タブに「名前:WindowsXP-KB885250-x86-JPN.exe」で登録
・Windows Server 2003:
UpdateEXPERT 5.1:サポート対象外
UpdateEXPERT 6.1:[展開ビュー]−[OS]タブに「名前:WindowsServer2003-KB885250-x86-jpn.exe」で登録
|
| |
