マイクロソフト セキュリティ情報 MS03-010
RPC エンドポイント マッパーの問題により、サービス拒否の攻撃が実行される (331953)
公開日: | 最終更新日:
概要 :
このセキュリティ情報の対象となるユーザー :
Microsoft® Windows® NT 4.0、Windows 2000、Windows XP をご使用のお客様
脆弱性の影響 :
サービス拒否
最大深刻度 :
重要
推奨する対応策 :
お客様はできるだけ早期に更新プログラムをインストールしてください。
影響を受けるソフトウェア :
- Microsoft Windows NT 4.0
- Microsoft Windows 2000
- Microsoft Windows XP
詳細
問題
技術的な説明 :
注意 :
このセキュリティ更新プログラムの適用後、特定の構成において、ローカル COM コールが応答しなくなるとの報告を受けています。複数のスレッドからいくつかのローカル RPC コールがすばやく作成され、それぞれのスレッドが一意のセキュリティ資格情報のセットを持つ場合にこの問題が発生します。現在、サポートされる更新プログラムがマイクロソフトから提供されています。この問題の詳細および更新プログラムの入手に関する詳細は、マイクロソフト サポート技術情報 814119 をご覧ください。
リモート プロシージャ コール (RPC) は、Windows オペレーティング システムが使用するプロトコルです。RPC により、プロセス間通信のメカニズムが提供され、コンピュータ上で実行されているプログラムが、シームレスにリモート システム上のコードを実行することが可能になります。RPC 自体は OSF (Open Software Foundation) RPC プロトコルから派生していますが、マイクロソフト特有の拡張機能がいくつか追加されています。
TCP/IP を使用したメッセージを処理する RPC の一部に脆弱性が存在します。不正なメッセージが不適切に処理されるために問題が発生します。この特定の脆弱性により、TCP/IP ポート 135 に応答する RPC エンドポイント マッパー (Endpoint Mapper) プロセスが影響を受けます。RPC エンドポイント マッパーにより、RPC クライアントは特定の RPC サービスにその時点で割り当てられているポート番号を確認することができます。
攻撃者がこの脆弱性を悪用するには、リモート コンピュータ上のエンドポイント マッパー プロセスに対し TCP/IP 接続を確立する必要があります。TCP/IP 接続が確立されると、攻撃者は次に不正なメッセージを送信する前に、RPC 接続のためのネゴシエーションを開始します。この時点で、リモート コンピュータのプロセスは異常終了する可能性があります。この RPC エンドポイント マッパー プロセスは、そのコンピュータ上で RPC を使用して、すべてのプロセスの接続情報の保守を行う役割を果たします。エンドポイント マッパーは、RPC サービス自体の内部で実行されるため、この脆弱性が悪用されると、RPC サービス自体が異常終了し、またそのサーバーが提供するすべての RPC ベースのサービスが損失し、COM 機能のいくつかも損失する可能性があります。
マイクロソフトは、このセキュリティ情報で Windows 2000 および Windows XP の脆弱性を修正する更新プログラムを提供しています。Windows NT 4.0 はこの脆弱性の影響を受けますが、マイクロソフトは Windows NT 4.0 の脆弱性に対する更新プログラムを提供することができません。Windows NT 4.0 のアーキテクチャ上の制限により、この脆弱性を排除するために必要な変更を行うことができません。Windows NT 4.0 ユーザーは、「よく寄せられる質問」 にて説明している回避策 (ポート 135 をブロックするファイアウォールで Windows NT 4.0 システムを保護します) を適用することを強く推奨します。
問題を緩和する要素 :
- 攻撃者がこの脆弱性を悪用するには、標的とするコンピュータ上で実行されているエンドポイント マッパーに接続することが必要条件となります。イントラネット環境では、通常エンドポイント マッパーにアクセスできますが、インターネットに接続されたコンピュータでは、エンドポイント マッパーが使用するポートが、通常、ファイアウォールによってブロックされています。そのポートがブロックされていない場合、またはイントラネット構成においては、攻撃者はその他の権限がなくても攻撃を実行できます。
- セキュリティ上の最善策として、実際には使用されていない TCP/IP ポートもすべてブロックしておくことが推奨されます。そのため、インターネットに接続されているほとんどのコンピュータでは、ポート 135 をブロックしておく必要があります。TCP 上の RPC は、インターネットのような、安全では無い環境での使用を意図していません。RPC は、HTTP 上の RPC など、この種の環境用に、より強固なプロトコルを提供します。クライアントおよびサーバーで RPC でのセキュリティ保護に関する詳細は、こちらをご覧ください。RPC が使用するポートに関する詳細は、こちらをご覧ください。
- この脆弱性を悪用して行われる恐れがある攻撃は、サービス拒否の攻撃のみで、攻撃者はこの脆弱性を悪用し、リモート コンピュータ上のデータを変更、取得することはできません。
深刻度 :
| Windows NT 4.0 | 重要 |
| Windows NT 4.0, Terminal Server Edition | 重要 |
| Windows 2000 | 重要 |
| Windows XP | 重要 |
上記の評価はこの脆弱性の影響を受けるシステムの種類、システムの典型的な展開形式およびこの脆弱性がシステムに及ぼす影響に基づいています。
脆弱性識別番号 :
CAN-2002-1561
テストしたバージョン :
マイクロソフトは Windows NT、Windows 2000 および Windows XP のテストを行い、この脆弱性による影響を評価しました。それ以前のバージョンに関してはサポートの対象となっていないため、この脆弱性による影響は不明です。
よく寄せられる質問
Windows NT 4.0 は「影響を受けるソフトウェア」の 1 つとされていますが、マイクロソフトが Windows NT 4.0 用の更新プログラムを提供していないのはなぜですか?
Windows 2000 の開発中、RPC の基本アーキテクチャに、大きな変更が加えられました。その変更の中には、RPC サーバー ソフトウェアが作成される方法への根本的な変更が含まれています。Windows NT 4.0 アーキテクチャは、それ以降の Windows 2000 アーキテクチャよりも堅牢性に欠け、Windows NT 4.0 と Windows 2000 およびそれ以降のバージョンとの根本的な違いにより、この脆弱性を排除するために Windows NT 4.0 用のソフトウェアを再度作成することができません。Windows NT 4.0 用のソフトウェアを再度作成するためには、影響を受ける RPC コンポーネントのみでなく、Windows NT 4.0 オペレーティング システムの大部分を設計し直す必要があります。このような再設計を行った製品は、Windows NT 4.0 との互換性を欠くことが考えられ、Windows NT 4.0 上で実行するように設計されたアプリケーションが、更新プログラムを適用したシステム上で、引き続き動作するという保証がありません。
マイクロソフトは、Windows NT 4.0 を引き続きご使用のお客様に、ポート 135 のトラフィックをフィルタリングするファイアウォールでシステムを保護することを強く推奨いたします。このようなファイアウォールにより、以下の「回避策」の欄で説明しているように、この脆弱性を悪用する攻撃が防止されます。
マイクロソフトは今後この問題を解決する Windows NT 4.0 用の更新プログラムをリリースする予定がありますか?
マイクロソフトは、Windows NT 4.0 のための技術的な解決策に関して広く調査した結果、Windows NT 4.0 アーキテクチャでは、この問題の更新プログラムを開発できない事を確認いたしました。
どのようなことが起こる可能性がありますか?
これはサービス拒否の脆弱性です。攻撃者はこの脆弱性を悪用し、リモート コンピュータを異常終了させる可能性があります。しかし、攻撃者はリモート コンピュータ上のデータを変更または取得、および任意のコードを実行することはできません。
攻撃者がサービス拒否の攻撃を行うには、標的となるコンピュータ上で実行されているエンドポイント マッパーへの TCP/IP 接続を行うことが必要条件となります。TCP 接続が確立されると、攻撃者は不正なメッセージを RPC サービスに送信し、次に標的となるコンピュータを異常終了させる可能性があります。
リモートの RPC へのインターネットからの攻撃に対する最善の防御策は、ファイアウォールを構成し、ポート 135 をブロックすることです。TCP 上の RPC は、インターネットのような、安全ではない環境での使用を意図していません。
何が原因で起こりますか?
ある状況下において、RPC エンドポイント マッパーが、メッセージの入力チェックを適切に行わず、それにより、リモート コンピュータ上のプロセスが異常終了する可能性があるため、この脆弱性が起こります。RPC が接続を確立した後、攻撃者がある特定の種類の不正な RPC メッセージを送信した場合、リモート コンピュータ上の RPC エンドポイント マッパー プロセスが異常終了する可能性があります。このプロセスは、そのコンピュータ上で RPC を使用して、すべてのプロセスの接続情報の保守を行う役割を果たします。エンドポイント マッパーは、RPC サービス自体の内部で実行されるため、この脆弱性が悪用されると、RPC サービス自体が異常終了し、またそのサーバーが提供するすべての RPC ベースのサービスが損失し、COM 機能のいくつかも損失する可能性があります。
RPC (リモートプロシージャコール) とは何ですか?
リモート プロシージャ コール (RPC) (英語情報) は、ネットワーク内の他のコンピュータ上にあるプログラムからサービスをリクエストするためにプログラムが使用するプロトコルです。RPC を使用するプログラムは、通信をサポートしているネットワーク プロトコルを認識する必要がないため、RPC により、相互運用性が得られます。RPC では、リクエストするプログラムは、クライアントで、サービスを提供するプログラムはサーバーとなります。
RPC エンドポイントマッパーとは何ですか?
RPC エンドポイント マッパーにより、RPC クライアントは、ある特定の RPC サービスにその時点で割り当てられているポート番号を確認することができます。エンドポイントは、サーバー アプリケーションがクライアントのリモート プロシージャ コールのためにリッスンするプロトコル ポートまたは名前付きパイプのことです。クライアントおよびサーバー アプリケーションは、既知の (well-known) ポートまたは動的なポートのいずれかを使用します。
マイクロソフトのリモートプロシージャコール (RPC) の実装の何が問題となっていますか?
TCP/IP 上のメッセージの交換を処理する RPC の一部に脆弱性が存在します。不正なメッセージが不適切に処理されるために問題が発生します。この問題により TCP/IP ポート 135 に応答する RPC エンドポイント マッパー プロセスに影響が及びます。RPC エンドポイント マッパーにより、RPC クライアントは、特定の RPC サービスにその時点で割り当てられているポート番号を確認することができます。攻撃者は不正な RPC メッセージを送信し、コンピュータ上の RPC サービスを異常終了させる可能性があります。
この脆弱性により攻撃者は何ができますか?
この脆弱性により、攻撃者はサーバー上の RPC エンドポイント マッパー プロセスに RPC メッセージを送信し、サービス拒否の攻撃を行う可能性があります。攻撃者がコンピュータを異常終了させる可能性はありますが、攻撃者がデータを取得したり、コードを実行することはできません。
攻撃者は、どのようにこの脆弱性を悪用する可能性がありますか?
攻撃者は、TCP ポート 135 からこの脆弱性の影響を受けるサーバーと通信するコンピュータのプログラミングを行い、ある特定の種類の不正な RPC メッセージを送信することにより、この脆弱性を悪用しようとする可能性があります。ユーザーがそのようなメッセージを受信した場合、この脆弱性の影響を受けるコンピュータ上の RPC サービスが異常終了する可能性があります。
更新プログラムは何を修正しますか?
この更新プログラムは、TCP/IP から受信した影響を受けるメッセージの形式を正しく検証することによってこの脆弱性を排除します。この検証により、RPC エンドポイント マッパーは不正なメッセージを受け付けなくなります。
回避策
この脆弱性に対する更新プログラムを直ちにインストールすることができません。この脆弱性が悪用されるのを防ぐためにできることはありますか?
マイクロソフトは、以下の回避策を推奨しています。
- ファイアウォールにてポート 135 をブロックする: ポート 135 は、RPC エンドポイント マッパー サービスとの RPC 接続を開始するために使用されます。ポート 135 をファイアウォールでブロックし、ファイアウォールの背後のシステムにこの脆弱性が悪用される攻撃を防ぐことができます。しかし、このようなシステムがファイアウォールの背後のシステムによって攻撃されないように、確実な対策を取るためには、更新プログラムを適用することを検討してください。
- Internet Connection Firewall : Windows XP のインターネット接続の保護のために Internet Connection Firewall を使用している場合、既定で RPC トラフィック受信がブロックされます。
更新プログラム
この問題に対する更新プログラムは MS04-012 で提供されている更新プログラムに含まれています。MS04-012 の問題も解決することができる MS04-012 の更新プログラムをご利用ください。
- Microsoft Windows 2000
この問題に対する修正は Windows 2000 Service Pack 4 以降に含まれています。Windows 2000 日本語版の最新の Service Pack は、以下の Web サイトから入手できます。
http://www.microsoft.com/japan/windows2000/downloads/なお、個別の更新プログラムは以下の Web サイトから入手できます。
- Windows XP
このマークの付いている更新プログラムは Microsoft Update からインストールすることもできます。
Microsoft Update の利用方法については以下のサイトを参照してください。
- Microsoft Update 利用の手順
http://www.microsoft.com/japan/athome/security/update/j_musteps.mspx
更新プログラムに関する追加情報
対象プラットフォーム :
- Windows 2000 用の更新プログラムは、Service Pack 2 または Service Pack 3 を実行しているシステムにインストールすることができます。
- Windows XP 用の更新プログラムは、Windows XP または Service Pack 1 を実行しているシステムにインストールすることができます。
この修正を含む予定のサービスパック :
- この問題に対する更新プログラムは Windows 2000 Service Pack 4 に含まれています。
- この更新プログラムは Windows XP Service Pack 2 に含まれる予定です。
再起動の必要性 :
あり
更新プログラムのアンインストール :
可
更新プログラムに含まれる過去の修正 :
なし
更新プログラムが正しくインストールされたかどうか確認する方法 :
- Windows 2000:
この更新プログラムがコンピュータにインストールされたことを確認するためには、コンピュータに次のレジストリ キーが作成されたことを確認して下さい。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q331953
各ファイルを確認するためには、次のレジストリ キーで、日付、時間そしてバージョン情報を参照して下さい。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q331953\Filelist - Windows XP:
- Windows XP にインストールした場合
この更新プログラムがコンピュータにインストールされたことを確認するためには、コンピュータに次のレジストリ キーが作成されたことを確認して下さい。
HKEY_LOCAL_MACHINE\Software\Microsoft\Updates\Windows XP\SP1\Q331953
各ファイルを確認するためには、次のレジストリ キーで、日付、時間そしてバージョン情報を参照して下さい。
HKEY_LOCAL_MACHINE\Software\Microsoft\Updates\Windows XP\SP1\Q331953\Filelist - Windows XP Service Pack 1 にインストールした場合
この更新プログラムがコンピュータにインストールされたことを確認するためには、コンピュータに次のレジストリ キーが作成されたことを確認して下さい。
HKEY_LOCAL_MACHINE\Software\Microsoft\Updates\Windows XP\SP2\Q331953
各ファイルを確認するためには、次のレジストリ キーで、日付、時間そしてバージョン情報を参照して下さい。
HKEY_LOCAL_MACHINE\Software\Microsoft\Updates\Windows XP\SP2\Q331953\Filelist
- Windows XP にインストールした場合
警告 :
マイクロソフトは Windows NT 4.0 および Windows NT 4.0 Terminal Server Edition をテストしました。これらのプラットフォームは、サービス拒否の攻撃の影響を受けますが、アーキテクチャ上の制限により、この脆弱性を排除するために Windows NT 4.0 用のソフトウェアを再構築することは不可能です。
このセキュリティ更新プログラムの適用後、特定の構成において、ローカル COM コールが応答しなくなるとの報告を受けています。複数のスレッドからいくつかのローカル RPC コールがすばやく作成され、それぞれのスレッドが一意のセキュリティ資格情報のセットを持つ場合に、この問題が発生します。現在、サポートされる更新プログラムがマイクロソフトから提供されています。この問題の詳細および更新プログラムの入手に関する詳細は、マイクロソフト サポート技術情報 814119 をご覧ください。
他のセキュリティ問題を解決する更新プログラムは以下のサイトから入手できます。 :
- セキュリティ更新プログラムはマイクロソフト ダウンロード センターからダウンロードすることができます。「security_patch」 のキーワード探索によって容易に見つけることができます。
- コンシューマ プラットフォーム用の更新プログラムは、Microsoft Update Web サイトからダウンロードできます。
- 本セキュリティ情報及び公開された更新プログラムは、TechNet CD サブスクリプションでも入手可能です。
更新プログラムについてのご質問は、マイクロソフト プロダクト サポート までご連絡ください。マイクロソフトでは、ご質問の内容が弊社製品の不具合が原因の場合、サポート料金はいただきません。それ以外の場合には、サポート料金を請求させていただきますのでご注意ください。
マイクロソフト プロダクト サポートへの連絡方法はこちらをご覧ください。
その他の情報
詳細情報 :
- US マイクロソフトセキュリティ情報(MS03-010)
http://www.microsoft.com/technet/security/bulletin/ms03-010.mspx - サポート技術情報 (KB) 文書番号 : 331953
[MS03-010] RPC エンドポイント マッパーの問題により、サービス拒否の攻撃が実行される
謝辞 :
この問題を連絡し、顧客の保護に協力して下さった jussi jaakonaho に対し、マイクロソフトは深い謝意(英語情報)を表します。
更新履歴 :
- 2003/3/27: このセキュリティ情報ページを公開しました。
- 2003/3/27: この問題についてのサポート技術情報 331953 日本語版を公開しました。
- 2003/5/14: このセキュリティ情報を更新し、この更新プログラムのインストール後に技術的な問題が起きたお客様のための情報およびマイクロソフト サポート技術情報 814119 へのリンクを追加しました。
- 2003/6/16: 「絵でみるセキュリティ情報」 へのリンクを追加しました。
本セキュリティ情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。