マイクロソフト セキュリティ情報 MS10-097 - 重要

「問題を緩和する要素」とは、設定、一般的な構成または一般的な最善策、既定の状態により、脆弱性の悪用の深刻度が低くなる可能性がある要素を指します。次の「問題を緩和する要素」は、お客様の環境で役立つ場合があります。

• 攻撃は、ユーザーが信頼されないリモート ファイル システムの場所または WebDAV 共有を訪問して、この場所から影響を受けるアプリケーションでロードされるドキュメントを開いた場合に実行される可能性があります。
• このファイル共有のプロトコルであるサーバー メッセージ ブロック (SMB) は、境界ファイアウォールで無効にされることが良くあります。これにより、この脆弱性に対して想定される攻撃方法が限定的になります。

回避策は、設定または構成の変更を示しており、基本的な脆弱性を正すものではありませんが、更新プログラムを適用する前に既知の攻撃方法を阻止するのに役立ちます。マイクロソフトは、以下の回避策を検証し、この回避策が機能性を低下させるかどうかについて、説明の部分で述べています。

• WebDAV およびリモートのネットワーク共有からのライブラリのロードを無効にする

  注: お客様がリモート ネットワークまたは WebDAV 共有からライブラリのロードを無効にする回避策のツールの適用については、サポート技術情報 2264107 をご覧ください。このツールは、各アプリケーションまたはグローバルなシステム ベースで、安全でないロードを許可しないように構成できます。

  アプリケーション ベンダーから通知された影響を受けるお客様はこのツールを使用すると、この問題の悪用からの防御に役立ちます。

  注意: 自動化された Microsoft Fix it ソリューションを使用してレジストリ キーを適用し、SMB および WebDAV 共有のライブラリのロードを無効するには、サポート技術情報 2264107をご覧ください Fix it ソリューションでは、回避策のツールをインストールする必要があります。詳細については、サポート技術情報 2264107 をご覧ください。この Fix it ソリューションは、レジストリ キーを適用するだけであるため、有効にするには回避策のツールが必要です。マイクロソフトは、管理者が詳細にサポート技術情報を確認して、この "Microsoft Fix it" ソリューションを展開することを推奨します。

• WebClient サービスを無効にする

  WebClient サービスを無効にすると、WebDAV (Web 分散オーサリングとバージョン管理) クライアント サービスで行われる可能性が最も高いリモート攻撃の方法をブロックし、影響を受けるシステムでこの脆弱性が悪用されることを防ぐのに役立ちます。この回避策を適用した後でも、リモートの攻撃者がこの脆弱性の悪用に成功して、システムに標的のユーザーのコンピューターまたはローカル エリア ネットワーク (LAN) のプログラムを実行させる可能性がありますが、ユーザーにはインターネットから任意のプログラムを起動する前に確認ダイアログが表示されます。

  Web Client サービスを無効にするためには、次のステップを行ってください。

  1. [スタート] メニューの [ファイル名を指定して実行] に "Services.msc " と入力し、次に [OK] をクリックします。
  2. [WebClient] サービスを右クリックし、[プロパティ] を選択します。
  3. スタートアップの種類を [無効] に変更します。サービスが実行されている場合、[停止] をクリックします。
  4. [OK] をクリックし、管理アプリケーションを閉じます。

  回避策の影響 : WebClient サービスが無効にされた場合、Web 分散オーサリングとバージョン管理 (WebDAV) の要求は送信されません。さらに、Web Client サービスに明示的に依存するサービスは開始されず、システム ログにエラー メッセージが記録されます。例えば、WebDAV 共有はクライアント コンピューターからアクセスできません。

  回避策の解除方法 : Web Client サービスを無効にするためには、次のステップを行ってください。

  1. [スタート] メニューの [ファイル名を指定して実行] に "Services.msc " と入力し、次に [OK] をクリックします。
  2. [WebClient] サービスを右クリックし、[プロパティ] を選択します。
  3. スタートアップの種類を [自動] に変更します。サービスが実行されていない場合、[スタート] をクリックします。
  4. [OK] をクリックし、管理アプリケーションを閉じます。
• TCP ポート 139 および 445 をファイアウォールでブロックする

  これらのポートは、影響を受けるコンポーネントでの接続を開始するために使用されます。ファイアウォールで TCP ポート 139 および 445 をブロックすると、ファイアウォールの背後のコンピューターを、この脆弱性を悪用した攻撃から保護することができます。その他のポートを悪用した攻撃を防ぐため、インターネットからの受信者側が送信を要求していないすべての受信通信をブロックすることを推奨します。ポートに関する詳細情報は、TechNet の記事 TCP and UDP Port Assignments (英語情報) をご覧ください。

  回避策の影響 : 影響を受けるポートが Windows のいくつかのサービスで使用されています。ポートへの接続をブロックすることにより、さまざまなアプリケーションおよびサービスが機能しなくなる可能性があります。次の一覧は、影響を受ける可能性のあるアプリケーションまたはサービスの一部です。

  • SMB (CIFS) を使用するアプリケーション
  • メールスロットまたは名前付きパイプ (RPC over SMB) を使用するアプリケーション
  • サーバー (ファイルとプリンタの共有)
  • グループ ポリシー
  • Net Logon
  • 分散ファイル システム (DFS)
  • ターミナル サーバー ライセンス
  • 印刷スプーラー
  • コンピューター ブラウザー
  • リモート プロシージャー コール ロケーター
  • Fax サービス
  • インデックス サービス
  • パフォーマンス ログと警告
  • Systems Management Server
  • ライセンス ログ サービス

  回避策の解除方法 : ファイアウォールで、TCP ポート 139 および 445 のブロックを解除する ポートに関する詳細情報は、TCP and UDP Port Assignments (英語情報) をご覧ください。

どのようなことが起こる可能性がありますか?
これはリモートでコードが実行される脆弱性です。攻撃者がこの脆弱性を悪用した場合、影響を受けるコンピューターを完全に制御する可能性があります。その後、攻撃者はプログラムのインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。

何が原因で起こりますか?
インターネット接続のサインアップ ウィザードが外部ライブラリをロードするために使用するパスを正しく制限しない場合に、この脆弱性が起こります。

インターネット接続のサインアップ ウィザードとは何ですか?
インターネット接続のサインアップ ウィザードにより、ユーザーは新しいコンピューターでの接続を構成したり、または以前のコンピューターで所有していた既存のインターネット サービス アカウントを使用することができます。また、このウィザードはインターネット接続が破損したユーザーのヘルプも行います。この自動構成機能は設定を復元します。ユーザーは、ユーザー ID、パスワードおよびポイント オブ プレセンス (POP) サーバー名のみを提供する必要があります。

この脆弱性により、攻撃者は何を行う可能性がありますか?
攻撃者がこの脆弱性を悪用した場合、ログオン ユーザーとして任意のコードを実行する可能性があります。その後、攻撃者はプログラムのインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。ユーザーが管理者ユーザー権限でログオンしている場合、攻撃者が影響を受けるコンピューターを完全に制御する可能性があります。システムで、アカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。

攻撃者はこの脆弱性をどのように悪用する可能性がありますか?
攻撃者はユーザーに同じネットワーク フォルダーにある .ins または .isp ファイルを特別な細工がされたバイナリ ファイルとして開かせる可能性があります。ファイルを開いている間、インターネット接続のサインアップ ウィザードはライブラリ ファイルをロードし、そこに含まれているコードを実行しようとする可能性があります。

電子メールの攻撃のシナリオで、攻撃者は正当な .ins または .isp 添付ファイルをユーザーに送り、ユーザーにその添付ファイルを特別な細工がされた DLL ファイルを含むディレクトリに置き、その .ins または .isp ファイルを開かせることにより、この脆弱性を悪用する可能性があります。次に、.ins または .isp ファイルを開いている間に、インターネット接続のサインアップ ウィザードが DLL ファイルをロードし、それに含まれている任意のコードを実行しようとする可能性があります。

ネットワークのシナリオでは、攻撃者は特別な細工がされた DLL とともに正当なファイルを UNC または WebDAV の場所に置き、ユーザーにその文書を開かせる可能性があります。また、攻撃者は Web サイトをホストし、Web サイトからこの文書を参照してWeb ブラウザーにより脆弱性が引き起こされるようにする可能性もあります。

主にどのようなコンピューターがこの脆弱性による危険にさらされますか?
この脆弱性は主に、ユーザーが信頼されないネットワークの場所から添付ファイルを開く可能性のあるワークステーションに影響を及ぼします。管理者がユーザーにサーバーへのログオンおよびプログラムの実行を許可している場合、サーバーもまた危険にさらされる可能性があります。しかし、セキュリティ上の最善策として、これを許可しないことを強く推奨しています。

この更新プログラムはどのように問題を修正しますか?
このセキュリティ更新プログラムは、インターネット接続のサインアップ ウィザードが外部のライブラリをロードする方法を修正することにより、この脆弱性を解決します。

このセキュリティ情報のリリース時に、この脆弱性は一般に公開されていましたか?
はい。この脆弱性は一般に知られていました。これは Common Vulnerability and Exposure の CVE-2010-3144 にアサインされています。

このセキュリティ情報の公開時に、マイクロソフトはこの脆弱性が悪用されたという報告を受けていましたか?
いいえ。このセキュリティ情報が最初に公開された段階で、マイクロソフトはこの脆弱性が悪用され、お客様が攻撃されたということを示す情報は受けていませんでした。

参照表

次の表には、このソフトウェアのセキュリティ更新プログラムに関する情報が含まれています。追加情報については、このセクションのサブセクション「展開に関する情報」をご覧ください。

注: Windows XP Professional x64 Edition のサポートされているバージョンでは、このセキュリティ更新プログラムは Windows Server 2003 x64 Edition のサポートされているバージョンのセキュリティ更新プログラムと同じです。

参照表

次の表には、このソフトウェアのセキュリティ更新プログラムに関する情報が含まれています。追加情報については、このセクションのサブセクション「展開に関する情報」をご覧ください。