Windows OSがサーバ・メッセージ・ブロック（SMB）受信パケットを検証する過程に脆弱性が存在する。細工されたSMBパケットを受信すると、リモートで任意のコードが実行され、コンピュータの制御が完全に奪われる危険性がある。インターネットに接続されたすべてのコンピュータが、この脆弱性の攻撃対象となる。特にウイルスやワームへの悪用が懸念される脆弱性だ。

　SMBの脆弱性はMS05-011でも報告されているが、今回のMS05-027は、これとは異なるものである。マイクロソフトによれば、MS05-027の脆弱性は非公開で報告されたとしており、実証コードや攻撃例は確認されていないという。ただし、この脆弱性が悪用された場合、Blaster並みの影響を与える可能性がある。至急、修正プログラムの適用を行った方がよい。なおWindows 98／98SE／Meには、この脆弱性は存在しない。

　ファイル／プリンタのネットワーク共有に使用されるSMBプロトコルの受信パケットが十分に検証されない脆弱性が存在する。これにより、ファイル名の長さフィールドに大きな値を設定するなどの細工が施されたSMBプロトコルを受信すると、バッファ・オーバーフローが発生し、任意のコードが実行されてしまう。マイクロソフトによれば、この脆弱性を悪用された場合、サービス拒否（DoS）が起こる可能性が最も高いとしている。この脆弱性を発見したeEye Digital Securityによれば、Webページに「file://」リンクを記載しておき、ユーザーがそれをクリックするように誘導することで、攻撃が可能だとしている。

　直接インターネットに接続されているコンピュータは、直接外部から攻撃を受ける危険性もある。また社内に侵入したワームやウイルスなどによって、LANを経由した攻撃が実行される可能性も懸念される。

■適用テストの結果
　DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。

■Windows NT 4.0にも脆弱性が存在する
　Windows NT 4.0は、すでにサポート期間が終了しているため、脆弱性の有無についても明らかにされていない。報告者であるeEye Digital Securityは、Windows NT 4.0にもMS05-027の脆弱性が存在し、攻撃を受ける危険性があるとしている。Windows NT 4.0に対しては修正プログラムが提供されないため、ファイアウォールなどで受信SMBパケットをブロックするなどの回避策を実施してほしい。

■MBSA 1.21の結果
　MS05-027の修正プログラムが正しく適用されているかどうかは、MBSA 1.21で確認可能だ。未適用の場合は、「Windowsのセキュリティの更新」の「結果の詳細情報」に、「サーバー メッセージ ブロックの脆弱性により、リモートでコードが実行される (896422)」が表示される。

　修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。

・Windows 2000 SP3／SP4：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB896422\Filelist以下のファイル一覧を確認する

・Windows XP SP1／SP1a／SP2：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP3\KB896422\Filelist以下のファイル一覧を確認する

・Windows Server 2003：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\ Windows Server 2003\SP2\KB896422\Filelist以下のファイル一覧を確認する

　何らかの理由で直ちに修正プログラムを適用できない場合には、以下に示す方法で回避が可能だ。ただしこの回避策は、脆弱性を根本的に解決するものではない。

■TCPポート139／445の受信側と送信側をファイアウォールでブロックする
　SMBプロトコルでの接続を開始するのに使用されるこれらのTCPポートを、インターネット接続ファイアウォールやパーソナル・ファイアウォール・ソフトウェアなどでブロックすることにより、この脆弱性を悪用した攻撃から防ぐことができる。

　なおWindows XP SP2とWindows Server 2003 SP1のWindowsファイアウォールでは、デフォルトでTCPポート139／445の受信側と送信側をブロックする（ただしWindows Server 2003 SP1については、Windowsファイアウォールはデフォルトでは有効になっていない）。Windows XP SP2とWindows Server 2003 SP1でWindowsファイアウォールを有効にするには、以下の手順で操作を行う。

1. ［スタート］−［コントロールパネル］を選択する。
2. ［Windowsファイアウォール］を選択し、「有効」をクリックする。
   
3. ［OK］ボタンをクリックし、［Windowsファイアウォール］ダイアログを閉じる。

　［Windowsファイアウォール］の設定において、「例外」タブの「ファイルとプリンタの共有」チェックボックスがオンのまま例外を許可すると、TCPポート139／445はオープンされたままになってしまう。当該チェックボックスをオフにするか、スコープを狭めるなどの対策が必要な点に注意すること。

　Windows XP SP1／SP1aでインターネット接続ファイアウォール（ICF）を有効にすることで、TCPポート139／445の受信側と送信側をブロックすることができる。ICFを有効にするには、以下の手順で操作を行う。

1. デスクトップの［マイ ネットワーク］アイコンを右クリックし、メニューから［プロパティ］を選択する。
2. ［ネットワーク接続］ウィンドウが開くので、ICFを有効にしたい接続を右クリックし、［プロパティ］を選択する。
3. ［ネットワーク接続のプロパティ］ダイアログ−［詳細設定］タブを選択し、「インターネットからのこのコンピュータへのアクセスを制限したり防いだりして、コンピュータとネットワークを保護する」を選択する。

・Windows 2000 SP3／SP4：
［展開ビュー］−［OS］タブに「名前：Windows2000-KB896422-x86-JPN.EXE」で登録

・Windows XP SP1／SP1a／SP2：
［展開ビュー］−［OS］タブに「名前：WindowsXP-KB896422-x86-JPN.exe」で登録

・Windows Server 2003：
UpdateEXPERT 5.1：サポート対象外
UpdateEXPERT 6.1：［展開ビュー］−［OS］タブに「WindowsServer2003-KB896422-x86-jpn.exe」で登録