MS05-039/899588 |
プラグ・アンド・プレイ・サービスの未チェック・バッファの脆弱性により、リモートで任意のコードが実行される危険性 |
(プラグ アンド プレイ の脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる) |
緊急対応度:適用作業の至急開始
|
危険性 |
脆弱性による危険性を示す。「緊急適用」の場合、すでに攻撃コードが公開されているなど、脆弱性を悪用した攻撃が開始される可能性がある。「SP待ち」の場合、現時点では危険性がそれほど高くないため、サービスパックに反映されるまで待つことが可能であることを示す。 |
|
Windows 2000/XP/Server 2003のプラグ・アンド・プレイ・サービスに未チェック・バッファの脆弱性が存在し、リモートで任意のコードが実行される危険性がある。Windows
2000では、細工したメッセージを匿名ユーザーから受信するだけでこの脆弱性が悪用され、最悪の場合、コンピュータの制御が完全に奪われてしまう。Windows
XP SP1では攻撃者が有効なログオン資格を、Windows XP SP2とWindows Server 2003では管理者権限のログオン資格を得ることが攻撃の条件となる。このように、Windows
2000では特に攻撃の危険性が高い脆弱性である。
マイクロソフトによれば、MS05-039の脆弱性は非公開で報告されたとしており、実証コードや攻撃例は確認されていないという。脆弱性を発見したInternet
Security Systems(ISS)によれば、「この脆弱性の実証コードがかなり近いうちに現れると予測する」としている。特にWindows 2000の場合は、ログオンの必要なしにインターネット経由で攻撃を受ける可能性があることから、ウイルスやワームへ悪用されると、Blasterワーム並みに急速に広まることが懸念される。至急、修正プログラムの適用を開始した方がよい。
・Internet Security Systems(Windows プラグ アンド プレイによるリモートからのセキュリティ侵害):
http://www.isskk.co.jp/support/techinfo/general/win_plugandplay_202.html
|
概要
|
プラグ・アンド・プレイ・サービスとは、デバイスのインストールに際して設定や変更を認識し、自動的に対応するサービスである。Windows DCE-RPCサービスとして実装されており、SMB名前付きパイプで接続可能である。細工が施されたSMBプロトコルをプラグ・アンド・プレイ・サービスが受信すると、バッファ・オーバーフローが発生し、任意のコードが実行されてしまう。Windows
2000では、プラグ・アンド・プレイ・サービスのコンポーネントを利用する際に認証が必要ないため、匿名のユーザーによって攻撃が可能となっている。
直接インターネットに接続されているコンピュータは、直接外部から攻撃を受ける危険性がある。また社内に侵入したワームやウイルスなどによって、LANを経由した攻撃が実行される可能性も懸念される。
|
対象プラットフォーム
|
影響を受けるソフトウェア |
対象プラットフォーム |
Windows 2000 |
Windows 2000 SP4 |
Windows XP |
Windows XP SP1/SP1a/SP2 |
Windows Server 2003 |
Windows Server 2003 SP未適用/SP1 |
|
|
‥‥‥ DA Lab:HotFixテスティング・チームからのコメント
‥‥‥
|
■適用テストの結果
DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。
プラットフォーム
|
適用テスト結果
|
Windows 2000 Professional SP4 |
○
|
Windows 2000 Server SP4 |
○
|
Windows 2000 Advanced Server SP4 |
○
|
Windows XP Professional SP1 |
○
|
Windows XP Professional SP1a |
○
|
Windows XP Professional SP2 |
○
|
Windows Server 2003, Standard Edition SP未適用 |
○
|
Windows Server 2003, Enterprise Edition SP未適用 |
○
|
Windows Server 2003, Standard Edition SP1 |
○
|
Windows Server 2003, Enterprise Edition SP1 |
○
|
■Windows 2000 SP3向けの修正プログラムは提供されない
Windows 2000 SP3は2005年6月30日にサポート・ライフサイクルが終了したため、MS05-039の修正プログラムは提供されない。Windows
2000 SP4を適用してから、MS05-039の修正プログラムを適用する必要がある。
■Windows XP SP2とWindows Server 2003 SP1では[プログラムの追加と削除]で表示形式が日付順になる修正ツールが実行される
Windows XP SP2とWindows Server 2003 SP1では、update.exe 6.1を使用してビルドされた修正プログラムが、コントロール・パネルの[プログラムの追加と削除]で日付順に並ばないという不具合がある。これは、update.exe
6.1を使用してビルドされたパッケージのレジストリ・キーに、「Installed On」属性がないことに起因する。
MS05-039の修正プログラムでは、Windows XP SP2とWindows Server 2003 SP1において、この不具合を解消する「arpidfix.exe」を実行し、[プログラムの追加と削除]の表示形式で日付順に並ぶように「Installed
On」属性を付加する。arpidfix.exeは、修正プログラムの実行時のみ使用される。
・サポート技術情報 904630(Arpidfix.exe ツールについて):
http://support.microsoft.com/default.aspx?scid=kb;ja;904630
■MBSA 2.0の結果
MS05-039の修正プログラムが正しく適用されているかどうかは、MBSA 2.0で確認可能だ。未適用の場合は、「Windowsのセキュリティの更新プログラム」の「結果の詳細情報」に、「MS05-039
Windows {2000/XP/Server 2003} 用セキュリティ更新プログラム (KB901214) 」が表示される。参考までにMBSA 1.21では「Windowsのセキュリティの更新」に「プラグ
アンド プレイ の脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる (899588)」が表示される。
|
|
|
プラットフォーム |
ダウンロード・センター |
WU/MU/SUS/WSUSの表示 |
Windows 2000 SP4 |
|
Windows 2000 用セキュリティ更新プログラム (KB899588) |
Windows XP SP1/SP1a/SP2 |
|
Windows XP 用セキュリティ更新プログラム(KB899588) |
Windows Server 2003 SP未適用/SP1 |
|
Windows Server 2003 用セキュリティ更新プログラム(KB899588) |
|
|
|
以下のファイルが修正プログラムによって更新される。障害の発生が懸念される場合は、これらのファイルのバックアップを取っておくとよい。
Windows 2000 SP4:
ファイル名 |
日付 |
バージョン |
サイズ |
Windows2000-KB899588-x86-JPN.EXE |
2005/06/29 |
1.0.0.0 |
518,136
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ |
%SystemRoot%\system32\ |
umpnpmgr.dll |
2005/06/28 |
5.0.2195.7057 |
89,360
|
User-mode Plug-and-Play Service |
Windows XP SP1/SP1a/SP2:
ファイル名 |
日付 |
バージョン |
サイズ |
WindowsXP-KB899588-x86-JPN.exe |
2005/07/01 |
1.0.0.0 |
581,360
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ
(sp1qfe) |
%SystemRoot%\system32\ |
umpnpmgr.dll |
2005/06/30 |
5.1.2600.1711 |
106,496
|
User-mode Plug-and-Play Service |
展開フォルダ
(sp2gdr/sp2qfe)
|
%SystemRoot%\system32\ |
umpnpmgr.dll |
2005/06/30 |
5.1.2600.2710 |
117,248
|
User-mode Plug-and-Play Service |
Windows Server 2003 SP未適用/SP1:
ファイル名 |
日付 |
バージョン |
サイズ |
WindowsServer2003-KB899588-x86-JPN.exe |
2005/07/01 |
1.0.0.0 |
594,672
|
ファイル名 |
日付 |
バージョン |
サイズ |
機能 |
展開フォルダ
(rtmgdr/rtmqfe)
|
%SystemRoot%\system32\ |
umpnpmgr.dll |
2005/06/30 |
5.2.3790.360 |
123,392
|
User-mode Plug-and-Play Service |
展開フォルダ
(sp1gdr)
|
%SystemRoot%\system32\ |
umpnpmgr.dll |
2005/06/30 |
5.2.3790.2477 |
137,728
|
User-mode Plug-and-Play Service |
展開フォルダ
(sp1qfe) |
%SystemRoot%\system32\ |
umpnpmgr.dll |
2005/06/30 |
5.2.3790.2477 |
128,512
|
User-mode Plug-and-Play Service |
|
|
|
修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。
・Windows 2000 SP3/SP4:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB899588\Filelist以下のファイル一覧を確認する
・Windows XP SP1/SP1a/SP2:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP3\KB899588\Filelist以下のファイル一覧を確認する
・Windows Server 2003 SP未適用/SP1:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\ Windows Server 2003\SP2\KB899588\Filelist以下のファイル一覧を確認する
|
|
|
何らかの理由で直ちに修正プログラムを適用できない場合には、以下に示す方法で回避が可能だ。ただしこの回避策は、脆弱性を根本的に解決するものではない。
■TCPポート139/445の受信側と送信側をファイアウォールでブロックする
SMBプロトコルでの接続を開始するのに使用されるこれらのTCPポートを、インターネット接続ファイアウォールやパーソナル・ファイアウォール・ソフトウェアなどでブロックすることにより、この脆弱性を悪用した攻撃を防止できる。
なおWindows XP SP2とWindows Server 2003 SP1のWindowsファイアウォールでは、デフォルトでTCPポート139/445の受信側と送信側をブロックする(ただしWindows
Server 2003 SP1については、Windowsファイアウォールはデフォルトで無効である)。Windows XP SP2とWindows Server
2003 SP1でWindowsファイアウォールを有効にするには、以下の手順で操作を行う。
- スタート]−[コントロールパネル]を選択する。
- [Windowsファイアウォール]を選択し、[全般]タブで「有効」をクリックする。必要なら「例外を許可しない」にチェックをいれる。
- [OK]ボタンをクリックし、[Windowsファイアウォール]ダイアログを閉じる。
[Windowsファイアウォール]の設定において、「例外」タブの「ファイルとプリンタの共有」チェックボックスがオンのまま例外を許可すると、TCPポート139/445はオープンされたままになってしまう(デフォルトではオフ)。当該チェックボックスをオフにするか、スコープを狭めるなどの対策が必要な点に注意すること。
Windows XP SP1/SP1aでインターネット接続ファイアウォール(ICF)を有効にすることで、TCPポート139/445の受信側と送信側をブロックすることができる。ICFを有効にするには、以下の手順で操作を行う。
- デスクトップの[マイ ネットワーク]アイコンを右クリックし、メニューから[プロパティ]を選択する。
- [ネットワーク接続]ウィンドウが開くので、ICFを有効にしたい接続を右クリックし、[プロパティ]を選択する。
- [ネットワーク接続のプロパティ]ダイアログ−[詳細設定]タブを選択し、「インターネットからのこのコンピュータへのアクセスを制限したり防いだりして、コンピュータとネットワークを保護する」を選択する。
|
予想適用時間
|
修正プログラム名 |
50台 |
100台 |
250台 |
500台 |
Windows2000-KB899588-x86-JPN.EXE
(Windows 2000 SP4) |
18分 |
27分 |
52分 |
1時間34分 |
WindowsXP-KB899588-x86-JPN.exe
(Windows XP SP1/SP1a/SP2) |
18分 |
27分 |
52分 |
1時間34分 |
WindowsServer2003-KB899588-x86-JPN.exe
(Windows Server 2003 SP未適用/SP1) |
18分 |
27分 |
52分 |
1時間34分 |
1コンソールのUpdateEXPERT 6.1で、今回の修正プログラムを適用するのにかかる時間を概算したもの。ネットワーク環境や適用するコンピュータの性能などによって適用時間は異なる。あくまでも目安として利用してほしい。
|
UpdateEXPERT上の表示
|
・Windows 2000 SP4:
[展開ビュー]−[OS]タブに「名前:Windows2000-KB899588-x86-JPN.EXE」で登録
・Windows XP SP1/SP1a/SP2:
[展開ビュー]−[OS]タブに「名前:WindowsXP-KB899588-x86-JPN.exe」で登録
・Windows Server 2003 SP未適用/SP1:
UpdateEXPERT 5.1:サポート対象外
UpdateEXPERT 6.1:[展開ビュー]−[OS]タブに「WindowsServer2003-KB899588-x86-JPN.exe」で登録
|
|