マイクロソフト セキュリティ情報 MS03-049

技術的な説明 :

Workstation サービスにセキュリティ上の脆弱性が存在し、これにより影響を受けるコンピュータで、リモートでコードが実行される可能性があります。この脆弱性は Workstation サービスに未チェックのバッファが含まれるため、起こります。

この脆弱性が悪用された場合、攻撃者は影響を受けるコンピュータでシステムの特権を取得する、または Workstation サービスが異常終了する可能性があります。攻撃者は、プログラムのインストール、データの表示、変更、削除または完全な特権を持つ新しいアカウントの作成など、コンピュータで任意の操作を行う可能性があります。

問題を緩和する要素 :

• 受信 UDP ポート 138、139、445 および TCP ポート 138、139、445 を、ファイアウォールを使用してブロックしている場合、攻撃者が Workstation サービスにメッセージを送ることが阻止されます。Windows XP のインターネット接続ファイアウォールなどのほとんどのファイアウォールはこれらのポートを既定でブロックします。
• Workstation サービスを無効にすることにより、攻撃の可能性が防がれますが、この回避策を実行すると、多くの影響があります。詳細は「回避策」のセクションをご覧下さい。
• Windows 2000 および Window XP のみがこの脆弱性の影響を受けます。そのほかのオペレーティング システムはこの攻撃の影響は受けません。

深刻度 :

上記の評価はこの脆弱性の影響を受けるシステムの種類、システムの典型的な展開形式およびこの脆弱性がシステムに及ぼす影響に基づいています。

脆弱性識別番号 :CAN-2003-0812

マイクロソフトはこの脆弱性に対応するための次の回避策のテストを行ないました。これらの回避策は根本的な脆弱性を修正しませんが、既知の攻撃の方法を阻止する手助けとなります。回避策は機能の低下の原因となる場合もありますが、その場合には下に記します。

• ファイアウォールで UDP ポート 138、139、445 および TCP ポート 138、139、445 をブロックする
  これらのポートはリモート コンピュータでリモート プロシージャコール (RPC) 接続を受け入れるために使用されます。これらをファイアウォールでブロックすることにより、ファイアウォールで保護されているコンピュータがこの脆弱性を悪用する攻撃を受けることを防ぐ手助けとなります。
• Windows XP に含まれるインターネット接続ファイアウォールなどのパーソナルファイアウォールを使用する

  Windows XP のインターネット接続ファイアウォール機能を使用し、インターネット接続を保護している場合、既定でインターネットからの受信トラフィックがブロックされます。

  ネットワークセットアップウィザードを使用して、インターネット接続ファイアウォールを有効にするためには

  1. [スタート] をクリックし、[コントロールパネル] をクリックします。
  2. 既定のカテゴリの表示で、[ネットワークとインターネット接続] をクリックし、次に、[インターネット接続のセットアップや変更を行う] をクリックします。コンピュータがインターネットに直接接続していることを示すウィザード内の構成を選択すると、インターネット接続ファイアウォール機能が有効になります。

  接続のためにインターネット接続ファイアウォールを手動で構成するためには

  1. [スタート] をクリックし、[コントロールパネル] をクリックします。
  2. 既定のカテゴリの表示で、[ネットワークとインターネット接続] をクリックし、次に [ネットワーク接続] をクリックします。
  3. インターネット接続ファイアウォールを有効にしたい接続を右クリックし、次に [プロパティ] をクリックします。
  4. [詳細設定] タブをクリックします。
  5. [インターネットからのこのコンピュータへのアクセスを制御したり防いだりして、コンピュータとネットワークを保護する] を選択しま、次に [OK] をクリックします。

  注 : ファイアウォールを介し、いくつかのアプリケーションおよびサービスの使用を有効にしたい場合、[詳細設定] タブの [設定] をクリックし、インターネット接続ファイアウォールの構成に有効にするプログラム、プロトコルおよびサービスを選択し、それらを有効にする必要があります。

• Windows 2000 ベースのコンピュータおよび Windows XP ベースのコンピュータのアドバンスト TCP/IP フィルタリングを有効にする

  アドバンスト TCP/IP フィルタリングを有効にすると、受信者が送信を要求していないすべての受信トラフィックをブロックすることができます。次のサポート技術情報で、この構成方法について説明しています。

  309798 Windows 2000 で TCP/IP フィルタリングを構成する

• Workstation サービスを無効にする

  Workstation サービスを無効にすることにより、攻撃の可能性が防がれます。

  Windows XP の Workstation サービスを無効にするためには

  • [スタート] をクリックし、次に [コントロールパネル] をクリックします。
  • 既定のカテゴリの表示で、[パフォーマンスとメンテナンス] をクリックします。
  • [管理ツール] をクリックします。
  • [サービス] をダブルクリックします。
  • [Workstation] をダブルクリックします。
  • [標準] タブで、[スタートアップの種類] の一覧で [無効] をクリックします。
  • [状態] で [停止] をクリックし、次に [OK] をクリックします。

  Windows 2000 の Workstation サービスを無効にするためには

  • [スタート] をクリックし、[設定] をポイントし、次に [コントロールパネル] をクリックします。
  • [管理ツール] をダブルクリックします。
  • [サービス] をダブルクリックします。
  • [Workstation] をダブルクリックします。
  • [標準] タブで、[スタートアップの種類] の一覧で [無効] をクリックします。
  • [状態] で [停止] をクリックし、次に [OK] をクリックします。

  回避策の影響 : Workstation サービスが無効にされている場合、コンピュータはネットワークの共有ファイル リソースや共有印刷リソースに接続することができません。この回避策は、スタンド アロンでネットワークに接続する必要のない多くのホーム ユーザーなどのコンピュータでのみ使用して下さい。Workstation サービスが無効にされている場合、Workstation サービスに明示的に依存しているすべてのサービスは起動せず、エラーメッセージがシステム イベント ログに記録されます。次のサービスは Workstation サービスに依存しています。

  • Alerter (警告)
  • Browser (ブラウザ)
  • Messenger (メッセンジャ)
  • Net Logon (ネットワーク ログオン)
  • RPC Locator (RPC ロケータ)

  これらのサービスはネットワークのリソースにアクセスする、またドメイン認証を実行するために必要です。ダイヤルアップ接続、DSL 接続またはケーブル モデム接続など、スタンド アロン コンピュータについてのインターネット接続およびブラウジングは、これらのサービスが無効にされていても、影響は受けません。

  注 : Microsoft Baseline Security Analyzer は Workstation サービスが無効にされている場合、機能しません。そのほかのアプリケーションもまた、Workstation を必要とする場合があります。アプリケーションが Workstation サービスを必要とする場合、単にこのサービスを再度有効にして下さい。これは、Workstation サービスの [スタートアップの種類] を [自動] に戻し、コンピュータを再起動することにより、行なうことができます。

どのようなことが起こる可能性がありますか?

これはバッファ オーバーランの脆弱性です。攻撃者はこの脆弱性を悪用し、影響を受けるコンピュータで、システムの特権で、リモートでコードを実行する可能性があります。または、Workstation サービスを異常終了させる可能性があります。次に攻撃者は、プログラムのインストール、データの表示、変更、削除、全ての特権を持つ新しいアカウントの作成など、コンピュータで任意の操作を行う可能性があります。

何が原因で起こりますか?

Workstation サービスに未チェックのバッファが含まれるため、この脆弱性が起こります。

Workstation サービスとは何ですか?

ローカル ファイル システムのリクエストとリモート ファイルまたは印刷ネットワークのリクエストの両方とも、Workstation サービスを介しおこなわれます。このサービスはリソースが配置されている場所を確認し、リクエストをローカルファイル システムまたはネットワーク コンポーネントに渡します。Workstation サービスが停止すると、すべてのリクエストがローカルリクエストであるとみなされます。Windows ネットワーク アーキテクチャに関する詳細は、次の Web サイトをご覧下さい。 http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/cnet/cnad_arc_tfgi.mspx

この脆弱性により、攻撃者は何ができる可能性がありますか?

この脆弱性により、攻撃者は影響を受けるコンピュータで、システムの特権で、リモートでコードを実行する可能性があります。または Workstation サービスを異常終了させる可能性があります。次に攻撃者は、プログラムのインストール、データの表示、変更、削除、全ての特権を持つ新しいアカウントの作成など、コンピュータで任意の操作を行う可能性があります。

誰がこの脆弱性を悪用する可能性がありますか?

影響を受けるコンピュータの Workstation サービスに不正なメッセージを送ることができる任意のユーザーにより、この脆弱性の悪用される可能性があります。Workstation サービスは既定で Windows のすべてのバージョンで有効であるため、影響を受けるコンピュータと接続を確立することができるユーザーにより、この脆弱性が悪用される可能性があります。

攻撃者はどのようにこの脆弱性を悪用する可能性がありますか?

攻撃者は不正なネットワーク メッセージを作成し、それを、影響を受けるコンピュータの Workstation サービスに送ることにより、この脆弱性を悪用する可能性があります。このようなメッセージを受け取ると、影響を受けるコンピュータの Workstation サービスは異常終了し、コードを実行する可能性があります。 また、別の攻撃の方法により、影響を受けるコンポーネントにアクセスする可能性もあります。その方法とは、コンピュータへの対話的にログオンに関連するもの、影響を受けるコンポーネントへパラメータを渡すアプリケーションを悪用するものなどがあります。

更新プログラムは何を修正しますか?

この更新は Workstation サービスが、割り当てられたバッファにメッセージを渡す前に、そのメッセージの長さを適切に検証するようにして、この脆弱性を排除します。

Windows XP の更新はなぜ、マイクロソフトセキュリティ情報 MS03-043 を参照しているのですか?

10 月 16 日にリリースされた MS03-043 (828035) の Windows XP 用のセキュリティ更新にこの脆弱性に対する保護の手助けとなる更新されたファイルが含まれているからです。Windows XP 用の MS03-049 (828749) セキュリティ更新プログラムはリリースされていませんので、ご注意ください。Windows XP 用の MS03-043 セキュリティ更新プログラムには、MS03-049 の脆弱性を修正するファイルが含まれています。すでに MS03-043 の更新プログラムを適用されたWindows XP 環境では、Microsoft Update に、MS03-049 のセキュリティ修正が表示されることはありません。 しかし、Windows 2000 用の MS03-043 (828035) には、MS03-049 (828749) の脆弱性を修正するファイルは含まれていませんので、Windows 2000 環境の場合は、MS03-043 を適用された環境にも、MS03-049 セキュリティ更新プログラムをインストールする必要があります。

以下の情報の中から、ご使用のプラットフォーム向けのセキュリティ更新プログラムに関する情報をご覧ください。