マイクロソフトセキュリティ情報 MS04-001

Microsoft Internet Security and Acceleration Server 2000 H.323 フィルタの脆弱性により、リモートでコードが実行される (816458)

公開日: 2004年1月14日 | 最終更新日: 2004年1月14日

概要 :

このセキュリティ情報の対象となるユーザー : Microsoft® Internet Security and Acceleration Server® 2000 をご使用のお客様

脆弱性の影響 : リモートでコードが実行される

最大深刻度 : 緊急

推奨する対応策 : お客様は、セキュリティ更新プログラムを直ちにインストールしてください。

含まれる過去のセキュリティ更新プログラム : なし

警告 : なし

テストしたソフトウェアおよび更新プログラムのダウンロード先

影響を受けるソフトウェア :


Microsoft Internet Security and Acceleration Server 2000 （以下 ISA Server）
Microsoft Small Business Server 2000 (Microsoft ISA Server 2000 が含まれるため)
Microsoft Small Business Server 2003 (Microsoft ISA Server 2000 が含まれるため)

このマークをクリックして、更新プログラムをダウンロードしてください。
更新プログラムをダウンロードおよびインストールする方法は、更新プログラムのダウンロード方法および更新プログラムのインストール方法をご覧ください。

影響を受けないソフトウェア :


Microsoft Proxy Server 2.0

マイクロソフトは上記のソフトウェアのテストを行い、この脆弱性による影響を評価しました。その他のバージョンに関してはサポートの対象となっていないため、この脆弱性による影響は不明です。マイクロソフトサポートライフサイクルの Web サイトを参照し、ご使用の製品およびバージョンのサポートライフサイクルをご確認ください。

詳細

技術的な詳細


Microsoft ISA Server 2000	緊急

回避策

マイクロソフトは次の回避策のテストを行ないました。これらの回避策は根本的な脆弱性を修正しませんが、既知の攻撃の方法を阻止する手助けとなります。回避策は機能の低下の原因となる場合もあります。その場合、下記に記した方法をご確認ください。

H.323 フィルタを無効に設定:
H.323 フィルタを無効にするには、以下の操作にしたがってください。
- ISA 管理ツールを開きます。
- [拡張] を展開します。
- [アプリケーションフィルタ] をクリックします。
- H.323 フィルタを選択し、[無効] をクリックします。
- Microsoft Firewall サービスの Windows コンポーネントを再起動します。
回避策の影響 :
H.323 フィルタを無効にした場合、H.323 トラフィックが Microsoft Firewall サービスによってブロックされます。これにより、IP テレフォニーに H.323 プロトコルを使用するすべてのアプリケーションを停止させ、データコラボレーションが ISA サーバーを介して通信できなくなります。H.323 トラフィックが ISA サーバーによって保護されているネットワークによって使用されない場合、H.323 フィルタとそのほかの使用していないフィルタを無効にし、セキュリティおよびパフォーマンスを向上させることを推奨します。たとえば、 Netmeeting などのアプリケーションを利用し、 H.323 による通信を ISA Server を経由して利用している場合には、影響が発生します。
境界またはゲートウェイルータで TCP ポート 1720 をブロック:
H.323 フィルタは、既定で外部の TCP ポート 1720 のみをリッスンします。このポートを境界ルータでブロックすることにより、ISA サーバーがインターネットベースの攻撃から保護されます。
注 : H.323 フィルタの設定の [呼の制御] タブの [着信呼を許可する] のチェックをオフにした場合、フィルタが外部の TCP ポート 1720 をリッスンするのを停止することはできず、これは効果的な回避策とは言えません。この動作は、このセキュリティ更新プログラムで変更されており、このセキュリティ情報の「よく寄せられる質問」にて説明しています。
回避策の影響 :
ポート 1720 トラフィックがブロックされている場合、IP テレフォニーに H.323 プロトコルを使用するアプリケーションまたはデータコラボレーションはインターネット上で通信できなくなります。

よく寄せられる質問

どのようなことが起こる可能性がありますか?

これはバッファオーバーランの脆弱性です。攻撃者はこの脆弱性を悪用し、ISA Server 2000 の Microsoft Firewall サービスのセキュリティコンテキストでコードを実行する可能性があります。攻撃者はこの脆弱性を悪用した場合、そのコンピュータの完全制御を取得する可能性があります。

何が原因で起こりますか?

この脆弱性は H.323 フィルタが特別な細工をした H.323 トラフィックを境界でチェックする方法にあります。

H.323 フィルタとは何ですか?

H.323 フィルタは、ISA Server 2000 によって使用されるアプリケーションフィルタで、H.323 および T.120 プロトコルを使用してトラフィックを監視、制御します。H.323 プロトコルは IP テレフォニアプリケーションで使用され、オーディオおよびビデオの通信の転送を行います。T.120 プロトコルは、ホワイトボード、ファイル転送、リモートデスクトップデータなどのデータを転送するために IP テレフォニアプリケーションで使用されます。H.323 フィルタは既定で ISA Server 2000 で有効にされます。

Microsoft Firewall サービスとは何ですか?

ISA Server の Microsoft Firewall サービスにより、Internet アプリケーションがインターネットに直接接続されているかのように利用することができます。これらのサービスは ISA Server に必要な通信機能をリダイレクトし、次にサーバーコンピュータを介し、内部アプリケーションからインターネットへの通信パスを確立します。

このサービスにより、Simple Mail Transfer Protocol (SMTP)、Telnet、File Transfer Protocol (FTP)、または H.323 プロトコルなど、それぞれのプロトコルの特定のゲートウェイの必要性が排除されます。

この脆弱性により、攻撃者は何ができますか?

攻撃者はこの脆弱性を悪用し、ISA Server 2000 の Microsoft Firewall サービスのセキュリティコンテキストでコードを実行する可能性があります。攻撃者がこの脆弱性を悪用した場合、コンピュータを完全に制御される可能性があります。

このセキュリティ対策プログラムには他のセキュリティ上の変更が含まれますか?

はい。このセキュリティ対策プログラムはまた、H.323 フィルタ設定の [呼の制御] タブの問題が修正されます。このセキュリティ対策プログラムのインストールの前に、H.323 フィルタ設定の [呼の制御] タブの [着信呼を許可する] のチェックをオフにしても、フィルタが外部の TCP ポート 1720 をリッスンするのが停止される設定になりませんでした。このセキュリティ対策プログラムにより、このオプションを選択すると、フィルタが外部の TCP ポート 1720 をリッスンしなくなるように適切に設定されるように修正されます。この設定を有効にするためには Microsoft Firewall サービスを再起動する必要があります。

もしH.323 フィルタにより保護されているネットワークでH.323 トラフィックの発信のみを使用するつもりでしたら、セキュリティの強化のために [着信呼を許可する] を無効にすることを推奨します。

このセキュリティ対策プログラムは何を修正しますか?

このセキュリティ対策プログラムは、H.323 フィルタが H.323 トラフィックを検証する方法を修正し、この脆弱性を排除します。

H.323 Gatekeeper Service をインストールしました。H.323 Gatekeeper Service は、この脆弱性の影響を受けますか?

いいえ。H.323 Gatekeeper Service には、この更新プログラムに関連する脆弱性は含まれていません。しかし、H.323 Gatekeeper Service がコンピュータにインストールされている場合、この更新プログラムにより、更新されたバージョンの gksvc.dll がインストールされます。H.323 Gatekeeper Service は既定でインストールされません。

この更新プログラムのインストール後に H.323 Gatekeeper Service をインストールした場合、更新プログラムを再度インストールする必要がありますか?

はい。セットアップコンポーネントを再度インストールした場合、すべての更新プログラムを再度適用する必要があります。

セキュリティ更新プログラムに関する情報

対象プラットフォームおよび必要条件 :

ISA Server 2000, ISA Server 2000 Feature Pack 1, Small Business Server 2000, Small Business Server 2000 Service Pack 1, Small Business Server 2003

必要条件 :

このセキュリティ更新プログラムを適用するには、ISA Server Service Pack 1 (SP1) または ISA Server Feature Pack 1 を実行している必要があります。

最新の ISA Server の Service Pack を入手する方法に関する詳細は、以下のマイクロソフトサポート技術情報をご覧ください。

313139 最新の Internet Security and Acceleration Server 2000 Service Pack の入手方法

この修正を含む予定のサービスパック :

この問題に対する修正は、ISA Server 2000 Service Pack 2 に含まれる予定です。

インストール情報 :

このセキュリティ更新プログラムは次のセットアップスイッチをサポートします。

-?: インストールスイッチの一覧を表示します
-q: 自動モードを使用します (ユーザーの操作なし)
-UHF <X> : 更新プログラム番号 <X> を削除します (<X> は更新プログラムの番号)
-nostart: 停止されたサービスを開始しません

適用に関する情報 :

ユーザーの操作なしでセキュリティ更新プログラムをインストールするためには、次のコマンドラインを使用してください。

ISA2000-KB816458-x86.exe -q

再起動の必要性 :

このセキュリティ更新プログラムの適用後に、コンピュータを再起動する必要はありません。このセキュリティ更新プログラムの適用後、ISA サービスが再起動されます。サービス再起動直前に行われている通信は、再起動によって通信エラーとなる可能性があります。修正モジュール適用の際には、外部や内部クライアントからのアクセスが切断される可能性があることを注意する必要があります。

削除に関する情報 :

このセキュリティ更新プログラムを削除するためには、[コントロールパネル] の [プログラムの追加と削除] を使用してください。

Microsoft ISA Server 2000 Updates を選択し、[変更] をクリックします。
ISA 更新プログラム291 を選択します。
[削除] をクリックします。

ファイルに関する情報 :

このセキュリティ更新プログラムの日本語版は次の表に挙げられているファイル属性 (またはそれ以降) を持ちます。

日付	時間	バージョン	サイズ	ファイル名
16-Dec-2003	17:16	3.0.1200.291	140,560	Gksvc.dll	X86
16-Dec-2003	17:16	3.0.1200.291	209,168	H323asn1.dll	X86
16-Dec-2003	17:16	3.0.1200.291	86,800	H323fltr.dll	X86

注 : H.323 Gatekeeper Service が ISA Server にインストールされている場合にのみ gksvc.dll がインストールされます。H.323 Gatekeeper Service が ISA Server にインストールされていない場合、gksvc.dll はコンピュータ上には存在しません。このサービスは既定でインストールされません。

セキュリティ更新プログラムが正しくインストールされたかどうか確認する方法 :

次のレジストリキーを調べることにより、このセキュリティ更新プログラムがインストールしたファイルを確認することができます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Hotfixes\SP1\291

その他の情報

謝辞 :

この問題を連絡し、顧客の保護に協力して下さった下記の方に対し、マイクロソフトは深い謝意を表します。

MS04-001 の問題を報告してくださった英国の National Infrastructure Security Co-ordination Centre (NISCC)

他のセキュリティ更新プログラムの入手先 :

他のセキュリティ問題を解決する更新プログラムは以下のサイトから入手できます。

セキュリティ更新プログラムはマイクロソフトダウンロードセンターからダウンロードすることができます。「security_patch」のキーワード探索によって容易に見つけることができます。
コンシューマプラットフォーム用の更新プログラムは、Microsoft Update Web サイトからダウンロードできます。
本セキュリティ情報及び公開されたセキュリティ更新プログラムは、TechNet CD サブスクリプションでも入手可能です。

他のセキュリティ情報 :

Microsoft TechNet Security センターでは、製品に関するセキュリティ情報を提供しています。
Microsoft Software Update Services : http://www.microsoft.com/japan/windowsserversystem/updateservices/
Microsoft Baseline Security Analyzer (MBSA) : http://www.microsoft.com/japan/technet/security/tools/Tools/mbsahome.asp MBSA ツールのセキュリティ更新プログラムの検出に関する制限は http://support.microsoft.com/kb/306460 をご覧ください。
Windows Update カタログ : http://support.microsoft.com/kb/323166
Microsoft Update : http://update.microsoft.com/microsoftupdate/
Office のアップデート : http://office.microsoft.com/officeupdate/

サポート :

更新プログラムについてのご質問は、マイクロソフトプロダクトサポートまでご連絡ください。マイクロソフトでは、ご質問の内容が弊社製品の不具合が原因の場合、サポート料金はいただきません。それ以外の場合には、サポート料金を請求させていただきますのでご注意ください。
マイクロソフトプロダクトサポートへの連絡方法はこちらをご覧ください。

詳細情報 :

US マイクロソフトセキュリティ情報（MS04-001）
http://www.microsoft.com/technet/security/bulletin/ms04-001.mspx
サポート技術情報（KB）文書番号： 816458
[MS04-001] Microsoft Internet Security and Acceleration Server 2000 H.323 フィルタの脆弱性により、リモートでコードが実行される

更新履歴 :

2004/01/14: このセキュリティ情報ページを公開しました。

本セキュリティ情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。（Microsoft Corporation、その関連会社またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。-

マイクロソフト セキュリティ情報 MS04-001

Microsoft Internet Security and Acceleration Server 2000 H.323 フィルタの脆弱性により、リモートでコードが実行される (816458)

マイクロソフトセキュリティ情報 MS04-001