マイクロソフト セキュリティ情報 MS03-001

技術的な説明 :
Microsoft Locator (英語情報) Service はネットワーク特有の名前に論理名をマップするネーム サービスです。これは Windows NT 4.0、Windows 2000 および Windows XP に含まれています。既定で、Locator Service は Windows 2000 ドメイン コントローラおよび Windows NT 4.0 ドメイン コントローラのみで開始されます。Windows NT 4.0 ワークステーションまたはメンバ サーバー、Windows 2000 ワークステーションまたはメンバ サーバー、または Windows XP では既定で開始されません。

Locator Service の未チェックのバッファにより、セキュリティ上の脆弱性が起こります。攻撃者は不正なリクエストを Locator Service に送ることにより、Locator Service を異常終了させる、または攻撃者が選択したコードをシステムで実行する可能性があります。

問題を緩和する要素 :

• Windows 2000 ドメイン コントローラおよび Windows NT 4.0 ドメイン コントローラ以外の、影響を受けるすべての Windows のバージョンで、Locator Service は既定では開始されません。しかしながら、アプリケーションのインストール等により、 Lacator Service が開始される場合がございます。
• 適切に構成されたファイアウォールにより、Locator Service への呼び出しはブロックされます。これにより、影響を受けるマシンがインターネット ベースの攻撃に対し保護されます。

深刻度 :

上記の評価はこの脆弱性の影響を受けるシステムの種類、システムの典型的な展開形式およびこの脆弱性がシステムに及ぼす影響に基づいています。

脆弱性識別番号 :
CAN-2003-003

テストしたバージョン :
マイクロソフトは Windows NT 4.0、Windows 2000 および Windows XP のテストを行い、これらの脆弱性による影響を評価しました。Locator Service は Windows NT 4.0 以前の Windows のバージョンでは利用可能ではありませんでした。

どのようなことが起こる可能性がありますか?

これはバッファ オーバーランの脆弱性です。攻撃者はこの脆弱性を悪用し、Locator Service を異常終了させる、または攻撃者が選択したコードをシステム権限で実行する可能性があります。

Locator Service は Windows 2000 ドメイン コントローラおよび Windows NT 4.0 ドメイン コントローラ以外では、既定で動作していません。適切に構成されたファイアウォールにより、Locator Service への呼び出しはブロックされます。これにより、影響を受けるコンピュータがインターネット ベースの攻撃に対し保護されます。

何が原因で起こりますか?

Microsoft Locator Service に未チェックのバッファが含まれるため、この脆弱性が起こります。不正な引数を使用して Locator Service が呼び出される場合、バッファがオーバーランする可能性があります。

Locator Service とは何ですか?

Microsoft Locator Service (英語情報) とは、オブジェクトに名前をマップするネーム サービスです。この名前はユーザーにとって、認識や使用が容易である論理名です。Locator Service は Windows NT 4.0、Windows 2000 および Windows XP に含まれています。

Locator Service の用途は何ですか?

リモート プロシージャ コール (RPC) を行うクライアントは Locator Service を呼び出し、そのクライアントが RPC で使用するネットワーク特定の名前に対するネットワーク オブジェクトの論理名を解決することができます。たとえば、プリント サーバーが “laserprinter” という論理名を持つ場合、RPC クライアントは Locator Service を呼び出し、“laserprinter” にマップされるネットワーク特有の名前を見つけることができます。RPC クライアントはこのサービスに対し RPC 呼び出しを行う時、解決後のネットワーク特有の名前を使用します。

既定で、Locator Service は Windows 2000 ドメイン コントローラおよび Windows NT 4.0 ドメイン コントローラのみで開始されています。管理者は Locator Service を Windows NT 4.0、Windows 2000 または Windows XP システムで開始することができます。

リモートプロシージャコールとは何ですか?

リモート プロシージャ コール (英語情報) とはプロセス間通信の技術で、これによりクライアント/サーバー ソフトウェアが通信することができます。RPC は Microsoft Windows オペレーティング システムに基づくクライアント/サーバー アプリケーションで使用することができます。また、そのほかのオペレーティング システムが含まれる異種ネットワーク環境で使用することもできます。

Locator Service の何が問題になっていますか?

Locator Service が、Locator Service に渡されるパラメータ情報を処理する方法に問題が存在します。不正なパラメータ データが Locator Service に渡され、そのパラメータ データがバッファをオーバーランさせる可能性があります。

この脆弱性により、攻撃者は何ができますか?

攻撃者はこの脆弱性を悪用し、Locator Service を異常終了させる、またはシステムでコードを実行する可能性があります。

攻撃者はどのようにこの脆弱性を悪用する可能性がありますか?

攻撃者は、Locator Service を悪用し、論理名を解決する RPC コールを作成し、その RPC コールを悪用し、不正なデータを渡すことにより、この脆弱性を悪用する可能性があります。

NetBIOS トラフィックをブロックするよう、適切に構成されたファイアウォールは、インターネットからの Locator Service へのアクセスを阻止するため、組織の内部ネットワーク以外から攻撃が行われることはありません。

Locator Service は認証を必要としますか?

いいえ、必要としません。RPC リクエストを行うシステムは Locator Service を実行するシステムにより、認証される必要はありません。

この脆弱性はインターネットから悪用される可能性はありますか?

適切に構成されたファイアウォールは Locator Service への呼び出しをブロックします。これにより、影響を受けるコンピュータがインターネット ベースの攻撃に対し保護されます。組織の内部ネットワークから攻撃者がこの脆弱性を悪用する可能性の方が高いです。

Locator Service が有効であるかどうかをどのように確認するのですか?

"Remote Procedure Call (RPC) Locator" サービスの状態とその起動方法 (自動または手動) は [コントロール パネル] で表示されます。Windows 2000 および Windows XP については、[コントロール パネル] – [管理ツール] – [サービス] で、Windows NT 4.0 については、[コントロール パネル] – [サービス] で表示されます。

また、以下を入力することにより、コマンド ラインから Locator Service の状態を確認することもできます。

net start

サービスの一覧が表示されます。"Remote Procedure Call (RPC) Locator" が一覧に表示される場合、Locator Service が実行されています。

Locator Service を使用していない場合、これを無効にできますか?

はい、できます。管理者はサービスのコントロール パネルで RpcLocator Service のスタートアップの種類を [無効] に設定することにより、Locator Service を無効にすることができます。

サービスは sc.exe プログラムを使用してコマンド ラインにより停止することもできます。sc.exe プログラムは Windows XP に同梱されています。また Windows 2000 リソース キット (英語情報) の一部として含まれています。次のコマンドでサービスは停止します。

sc stop RpcLocator

コマンド ラインからこのサービスを無効にするためには、次を使用して下さい。

sc config RpcLocator start= disabled

この脆弱性による危険に最もさらされるシステムは何ですか?

Windows 2000 ドメイン コントローラおよび Windows NT 4.0 ドメイン コントローラのみで Locator Service が既定で開始されます。このため、これらのシステムが最も危険にさらされる可能性があります。Locator Service は Windows NT 4.0、Windows NT 4.0, Terminal Server Edition、Windows 2000 および Windows XP で開始することができます。

更新プログラムは何を修正しますか?

この更新プログラムは RPC Locator Service に渡される情報を正しく処理することにより、この脆弱性を解決します。

この問題に対する日本語版更新プログラムは、次のサイトからダウンロードできます。

• Windows NT 4.0:
  • すべての言語 (NEC PC-9800 シリーズおよび中国語 (香港) 版を除く)
  • NEC PC-9800 シリーズ
  • 中国語 (香港) 版
• Windows NT 4.0, Terminal Server Edition:
  • すべての言語
• Windows 2000:
  この問題に対する修正は Windows 2000 Service Pack 4 以降に含まれています。Windows 2000 日本語版の最新の Service Pack は、以下の Web サイトから入手できます。
  http://www.microsoft.com/japan/windows2000/downloads/
  
  なお、個別の更新プログラムは以下の Web サイトから入手できます。
  • すべての言語 (NEC PC-9800 シリーズを除く)
  • NEC PC-9800 シリーズ
• Windows XP:
  • 32-bit 版
  • 64-bit 版

このマークの付いている更新プログラムは Microsoft Update からインストールすることもできます。

Microsoft Update の利用方法については以下のサイトを参照してください。

• Microsoft Update 利用の手順
  http://www.microsoft.com/japan/athome/security/update/j_musteps.mspx