MS05-028/896426 |
WebClientサービスの未チェック・バッファの脆弱性により、リモートで任意のコードが実行される危険性 |
(WebClientサービスの脆弱性により、リモートでコードが実行される) |
緊急対応度:適用作業の早期開始
|
危険性 |
脆弱性による危険性を示す。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性がある。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示す。 |
|
WebClientサービスに未チェック・バッファの脆弱性が存在し、WebDAV経由で細工されたリクエストを受信すると、リモートで任意のコードが実行される危険性がある。WebClientは、インターネット経由でファイルを作成したり修正したりするために利用されるサービスだ。
この攻撃を実行するためには、攻撃対象となるコンピュータの有効なログオン資格情報を所有していることが条件になるとしている。そのため、匿名ユーザーがリモートでこの脆弱性を悪用することは困難である。ただし、ほかの脆弱性と合わせて、ワームやウイルスなどに悪用される可能性が懸念される。
マイクロソフトによれば、MS05-028の脆弱性は非公開で報告されたとしており、実証コードや攻撃例は確認されていないという。すぐにウイルスやワームなどに悪用されることはないと思われるが、リモートで任意のコードが実行できる脆弱性なので、早期に修正プログラムの適用を行った方がよい。なおWindows
XP SP2とWindows Server 2003 SP1は、この脆弱性の影響を受けない。
|
概要
|
WebClientは、インターネット上のドキュメントにWin32アプリケーションがアクセスし、ファイルの作成/修正/削除を行えるようにWindows
OSの機能を拡張するためのサービスである。Windows XPではデフォルトでサービスが開始されるように設定されている(Windows Server 2003のデフォルトは無効)。
この脆弱性は、WebDAVメッセージを処理する過程でWebClientサービスがバウンダリ・エラーを起こすことに起因する。細工されたメッセージをWebClientサービスが受け取ると、バッファ・オーバフローが起き、任意のコードが実行される。攻撃には、前述のように有効なログオン資格情報が必要となるため、「Guest」アカウントが有効になっているコンピュータは危険である。修正プログラムの適用と同時に、Guestや使用していないログオン・アカウントが有効になっていないことを確認しておいた方がよい。
|
対象プラットフォーム
|
影響を受けるソフトウェア |
対象プラットフォーム |
Windows XP |
Windows XP SP1/SP1a |
Windows Server 2003 |
Windows Server 2003 SP未適用 |
|
|
‥‥‥ DA Lab:HotFixテスティング・チームからのコメント
‥‥‥
|
■適用テストの結果
DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。
プラットフォーム
|
適用テスト結果
|
Windows XP Professional SP1 |
○
|
Windows XP Professional SP1a |
○
|
Windows Server 2003, Standard Edition SP未適用 |
○
|
Windows Server 2003, Enterprise Edition SP未適用 |
○
|
■MBSA 1.21の結果
MS05-028の修正プログラムが正しく適用されているかどうかは、MBSA 1.21で確認可能だ。未適用の場合は、「Windowsのセキュリティの更新」の「結果の詳細情報」に、「WebClient
サービスの脆弱性により、リモートでコードが実行される (896426)」が表示される。
|
|
|
プラットフォーム |
ダウンロード・センター |
Windows Update/SUS/WSUSの表示 |
Windows XP SP1/SP1a |
|
Windows XP 用セキュリティ更新プログラム (KB896426) |
Windows Server 2003 SP未適用 |
|
Windows Server 2003 用セキュリティ更新プログラム (KB896426) |
|
|
|
以下のファイルが修正プログラムによって更新される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。
Windows XP SP1/SP1a:
ファイル名 |
日付 |
バージョン |
サイズ |
WindowsXP-KB896426-x86-JPN.exe |
2005/04/26 |
1.0.0.0 |
596,208
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ |
%SystemRoot%\system32\ |
webclnt.dll |
2005/04/26 |
5.1.2600.1673 |
62,976
|
Web DAV Service DLL |
|
%SystemRoot%\system32\drivers |
mrxdav.sys |
2005/04/26 |
5.1.2600.1673 |
173,312
|
Windows NT WebDav Minirdr |
Windows Server 2003 SP未適用:
ファイル名 |
日付 |
バージョン |
サイズ |
WindowsServer2003-KB896426-x86-jpn.exe |
2005/04/30 |
1.0.0.0 |
620,272
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ
(rtmgdr) |
%SystemRoot%\system32\ |
webclnt.dll |
2005/04/30 |
5.2.3790.321 |
69,120
|
Web DAV Service DLL |
|
%SystemRoot%\system32\drivers |
mrxdav.sys |
2005/04/30 |
5.2.3790.321 |
181,248
|
Windows NT WebDav Minirdr |
展開フォルダ
(rtmqfe)
|
%SystemRoot%\system32\ |
webclnt.dll |
2005/04/30 |
5.2.3790.321 |
69,120
|
Web DAV Service DLL |
|
%SystemRoot%\system32\drivers |
mrxdav.sys |
2005/04/30 |
5.2.3790.321 |
181,760
|
Windows NT WebDav Minirdr |
|
|
|
修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。
・Windows XP SP1/SP1a:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB896426\Filelist以下のファイル一覧を確認する
・Windows Server 2003 SP未適用:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB896426\Filelist以下のファイル一覧を確認する
|
|
|
何らかの理由で直ちに修正プログラムを適用できない場合には、以下に示す方法で脆弱性を回避可能だ。ただしこの回避策は、脆弱性を根本的に解決するものではない。
■WebClientサービスを無効にする
WebClientサービスを無効に設定すれば、WebDAVパケットを処理しなくなるため、この脆弱性を悪用した攻撃を防止できる。サービスを停止するには、以下の手順で操作する。
- [スタート]−[コントロールパネル]−[サービス]を起動する。
- [WebClient]のプロパティを開く。
- [スタートアップの種類]を[無効]に設定する。
- [停止]ボタンをクリックし、サービスを止める。
また、次のようにコマンド・プロンプトから入力して、WebClientサービスを停止/無効にできる。
sc stop WebClient & sc config WebClient start=
disabled |
ただしWindows Server 2003では、[Webフォルダとして開く]機能がWebClientサービスに依存している。WebClientサービスを停止すると[Webフォルダとして開く]機能が利用できなくなる。
|
予想適用時間
|
修正プログラム名 |
50台 |
100台 |
250台 |
500台 |
WindowsXP-KB896426-x86-JPN.exe
(Windows XP SP1/SP1a) |
18分 |
27分 |
52分 |
1時間34分 |
WindowsServer2003-KB896426-x86-jpn.exe
(Windows Server 2003 SP未適用) |
19分 |
27分 |
52分 |
1時間34分 |
1コンソールのUpdateEXPERT 6.1で、今回の修正プログラムを適用するのにかかる時間を概算したもの。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なる。あくまでも目安として利用してほしい。
|
UpdateEXPERT上の表示
|
・Windows XP SP1/SP1a:
[展開ビュー]−[OS]タブに「名前:WindowsXP-KB896426-x86-JPN.exe」で登録
・Windows Server 2003 SP未適用:
UpdateEXPERT 5.1:サポート対象外
UpdateEXPERT 6.1:[展開ビュー]−[OS]タブに「WindowsServer2003-KB896426-x86-jpn.exe」で登録
|
|