マイクロソフト セキュリティ情報 MS04-011

• Windows 2000 および Windows XP のみが匿名ユーザーによってリモートで攻撃される可能性があります。Windows Server 2003 および Windows XP 64-Bit Edition Version 2003 には、この脆弱性が存在しますが、この脆弱性を悪用する可能性があるのは、ローカルの管理者のみです。
• Windows NT 4.0 はこの脆弱性による影響を受けません。
• ファイアウォールによる最善策および標準のファイアウォールの既定の構成により、ネットワーク境界の外部から行われる攻撃からネットワークを保護することができます。最善策として、インターネットに接続したコンピュータでは、最低限の数のポートを開くようにすることが推奨されます。

マイクロソフトは次の回避策のテストを行ないました。これらの回避策は根本的な脆弱性を修正しませんが、既知の攻撃を阻止する手助けをします。回避策は機能の低下の原因となる場合もあります。その場合を下記に記します。

• %systemroot%\debug\dcpromo.log という名前のファイルを読み取り専用の属性で作成します
  ファイルの作成には、次のコマンドを実行してください。

  echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log

注意 脆弱なコードを実行できなくすることで、この脆弱性を完全に軽減するため、これは最も有効に緩和する技術です。この回避策はあらゆる攻撃を受けやすいポートに送信されるパケットに対して有効です。

• Windows XP および Windows Server 2003 に含まれているインターネット接続ファイアウォールなどのパーソナルファイアウォールを使用する

  Windows XP または Windows Server 2003 のインターネット接続ファイアウォールの機能を使用して、インターネットの接続を保護した場合、既定で、受信者側が送信を要求していないすべてのトラフィックがブロックされます。

  インターネット接続ファイアウォールの機能は、ネットワーク セットアップ ウィザードを使用して、有効に設定することができます。

  • [スタート] - [コントロールパネル] をクリックします。
  • 既定のカテゴリ表示で、[ネットワークとインターネット接続] をクリックし、次に [ホームネットワークまたは小規模オフィスのネットワークをセットアップまたは変更する] をクリックします。ネットワーク セットアップ ウィザードで、コンピュータを直接インターネットに接続する構成に設定すると、インターネット接続ファイアウォールの機能が有効に設定されます。

  インターネット接続ファイアウォールを手動で有効にするには、以下の手順にしたがってください。

  • [スタート] - [コントロールパネル] をクリックします。
  • 既定のカテゴリ表示で、[ネットワークとインターネット接続] をクリックし、次に [ネットワーク接続] をクリックします。
  • 各接続を選択し、右クリックによりメニューを表示します。メニューの [プロパティ] をクリックします。
  • [詳細設定] タブを選択します。
  • 「インターネット接続ファイアウォール」の [インターネットからのこのコンピュータへのアクセスを制限したり防いだりして、コンピュータとネットワークを保護する] チェックボックスを選択し、次に [OK] ボタンをクリックします。

  注 : ファイアウォールを通過するプログラムおよびサービスの使用を有効にする必要がある場合、[詳細設定] タブの [設定] をクリックし、次に必要なプログラム、プロトコル、サービスを選択します。

• ファイアウォールで、以下の項目をブロックする
  • UDP ポート 135、137、138、139、445 および TCP ポート 135、138、139、445、593
  • 1024 を越えるポートで、使用されていない入力ポート
  • 上記以外の、RPC のために設定しているポート

  これらのポートは、RPC との接続を開始するために使用されます。ファイアウォールでこれらのポートをブロックすると、ファイアウォールの背後のコンピュータを、この脆弱性を悪用した攻撃から保護することができます。また、リモート システムのそのほかの特定の RPC ポートの構成をブロックする必要があります。マイクロソフトは、インターネットからの他のポートを悪用する攻撃からコンピュータを防御するために、受信者側が送信を要求していないすべての通信をブロックすることを推奨します。RPC が使用するポートに関する詳細は、次の Web サイト （英語情報） をご覧ください。

• TCP/IP フィルタリングをサポートするコンピュータ上でその機能を設定する

  TCP/IP フィルタリングを詳細に設定し、受信者側が送信を要求していないすべてのトラフィックをブロックすることができます。TCP/IP フィルタリングの構成方法に関する詳細は、マイクロソフト サポート技術情報 309798 をご覧ください。

• 影響を受けるシステムで、IPSec を使用し、該当のポートをブロックする

  Internet Protocol Security (IPSec) を使用し、ネットワーク通信をセキュリティで保護することができます。IPSec およびフィルタの適用方法に関する詳細は、マイクロソフト サポート技術情報 313190 および 813878 をご覧ください。

どのようなことが起こる可能性がありますか?

これはバッファ オーバーランの脆弱性です。攻撃者にこの脆弱性が悪用された場合、リモートで、プログラムのインストール、データの表示、変更、削除または完全な特権を持つ新たなアカウントの作成など、該当のコンピュータの完全な制御を取得される可能性があります。

何が原因で起こりますか?

この脆弱性は、Local Security Authority Subsystem Service (LSASS) サービスの未チェックのバッファのために起こります。

Local Security Authority Subsystem Service (LSASS) とは何ですか?

LSASS は、ローカル セキュリティ、ドメイン認証、Active Directory プロセスの管理のためにインターフェイスを提供します。LSASS は、クライアントおよびサーバーの両方の認証を処理します。また、Active Directory ユーティリティのサポートに使用される機能も含みます。

この脆弱性により、攻撃者は何を行う可能性がありますか?

攻撃者にこの脆弱性が悪用された場合、影響を受けるコンピュータを完全に制御される可能性があります。

誰がこの脆弱性を悪用する可能性がありますか?

Windows 2000 および Windows XP では、匿名のユーザーが特別な細工をしたメッセージをこの脆弱性の影響を受けるコンピュータに送信できる場合、この脆弱性の悪用を試みる可能性があります。

攻撃者はどのようにこの脆弱性を悪用する可能性がありますか?

攻撃者は特別な細工をしたメッセージを作成し、それをこの脆弱性の影響を受けるコンピュータに送信することにより、この脆弱性を悪用する可能性があります。それにより、該当のコンピュータで、コードが実行される可能性があります。

また、攻撃者は別の方法によって該当のコンポーネントにアクセスする可能性があります。たとえば、コンピュータに対話的にログオンするか、またはこの脆弱性の影響を受けるコンポーネントにパラメータを （ローカル、またはリモートで） 渡した別のプログラムを使用するしログオンすることが考えられます。

この脆弱性による危険にさらされるのは主にどのようなコンピュータですか?

主に Windows 2000 および Windows XP がこの脆弱性による危険にさらされる可能性があります。

Windows Server 2003 および Windows XP 64-Bit Edition Version 2003 では、攻撃者がこの脆弱性を悪用するには、管理者が影響を受けるシステムにローカルでログオンすることが、攻撃者にとっての必要条件となり、攻撃から緩和されます。

更新プログラムは何を修正しますか?

この更新プログラムは、割り当てられたバッファにメッセージが渡される前に、LSASS がメッセージの長さを検証する方法を変更し、この脆弱性を排除します。

また、これらのオペレーティングシステムでは、脆弱性の影響を受けるインターフェイスは必要ないため、この更新プログラムにより、脆弱性の影響を受けるコードが Windows 2000 Professional および Windows XP から削除されます。これにより、このサービスに今後脆弱性があった場合に、保護する手助けを提供します。

• 攻撃者がこの脆弱性を悪用するには、特別な細工をした LDAP メッセージをドメイン コントローラに送信することが攻撃者にとっての必要条件となります。LDAP ポートが、ファイアウォールによってブロックされていない場合、または、通常のイントラネット構成でない場合、攻撃者は権限を追加せずに、この脆弱性を悪用する可能性があります。
• この脆弱性は、Windows 2000 Server ドメイン コントローラにのみ影響を及ぼします。Windows Server 2003 ドメイン コントローラは、この脆弱性による影響は受けません。
• Windows NT 4.0 および Windows XP は、この脆弱性による影響は受けません。
• 攻撃者にこの脆弱性が悪用された場合、影響を受けるコンピュータで、60 秒後に自動的に再起動する警告が表示される可能性があります。この 60 秒のカウントダウンの終了時に、該当のコンピュータは自動的に再起動します。再起動後、該当のコンピュータは、通常の機能を回復しますが、この更新プログラムが適用されていない場合、新たなサービス拒否の攻撃が行われる可能性があります。
• ファイアウォールによる最善策および標準のファイアウォールの既定の構成により、ネットワーク境界の外部から行われる攻撃からネットワークを保護することができます。最善策として、インターネットに接続したコンピュータでは、最低限の数のポートを開くようにすることが推奨されます。

マイクロソフトは次の回避策のテストを行ないました。これらの回避策は根本的な脆弱性を修正しませんが、既知の攻撃の方法を阻止する手助けとなります。回避策は機能の低下の原因となる場合もあります。その場合、下記に記します。

• ファイアウォールでLDAP TCP ポート 389、636、3268、3269 をブロックする

  これらのポートは、Windows 2000 ドメイン コントローラと LDAP 接続を開始するために使用されます。これらのポートをファイアウォールでブロックすることにより、ネットワーク境界の外部から行われる、この脆弱性への攻撃からファイアウォール内のシステムを保護する手助けとなります。他のポートで、この脆弱性を悪用する方法が発見される可能性がありますが、LDAP TCP ポート 389、636、3268、3269 を使用した攻撃は、最も一般的な方法です。マイクロソフトは、必要とされないインターネットからの受信パケットをすべてブロックし、他のポートを悪用した攻撃を防ぐことを推奨します。

  回避策の影響 : これらのポートがブロックされているネットワーク接続では、Active Directory ドメインでの認証が行えない場合があります。

どのようなことが起こりますか?

これは、サービス拒否の脆弱性です。攻撃者によってこの脆弱性が悪用された場合、サーバーが自動的に再起動し、その期間、サーバーの認証リクエストへの応答が停止する可能性があります。この脆弱性は、ドメイン コントローラの役割を果たす Windows 2000 Server コンピュータに存在します。他の Windows 2000 コンピュータへの唯一の影響として、ドメイン コントローラが応答を停止した場合、クライアントがドメインにログオンできなくなる場合があります。

何が原因で起こりますか?

この脆弱性は、Local Security Authority Subsystem Service (LSASS) サービスによる特別な細工をした LDAP メッセージの処理方法に問題があるために発生します。

LDAP とは何ですか?

Lightweight Directory Access Protocol (LDAP) とは、業界標準のプロトコルで、これにより、認証されたユーザーがメタディレクトリのデータを問い合わせ、変更することが可能となります。たとえば、Windows 2000 では、LDAP は、Active Directory のデータにアクセスするために使用されるプロトコルの 1 つです。

特別な細工がされた LDAP メッセージが処理される方法の何が問題となっていますか?

攻撃者は、特別な細工をした LDAP メッセージを Local Security Authority Subsystem Service (LSASS) サービスに送信し、その応答を停止させる可能性があります。

Local Security Authority Subsystem Service (LSASS) とは何ですか?

Local Security Authority Subsystem Service (LSASS) は、ローカル セキュリティ、ドメイン認証、Active Directory のプロセスの管理のためのインターフェイスを提供します。LSASS は、クライアントおよびサーバーの両方の認証を処理します。また、Active Directory ユーティリティのサポートに使用される機能も含みます。

この脆弱性により、攻撃者は何を行う可能性がありますか?

攻撃者にこの脆弱性が悪用された場合、LSASS の応答を停止し、影響を受けるコンピュータが再起動する可能性があります。該当のコンピュータで、60 秒後に自動的に再起動する警告が表示される可能性があります。この 60 秒のカウントダウン中は、該当のコンピュータのコンソールのローカル認証およびユーザー ドメイン認証を行うことができません。この 60 秒のカウントダウンの終了後、コンピュータは自動的に再起動します。ユーザーが影響を受けるコンピュータで、ドメイン認証を行うことができない場合、ドメインのリソースにアクセスできない場合があります。再起動後、該当のコンピュータは、通常の機能を回復しますが、この更新プログラムが適用されていない場合、新たなサービス拒否の攻撃が行われる可能性があります。

どのような人物により、この脆弱性が悪用される可能性がありますか?

特別な細工をした LDAP メッセージをこの脆弱性の影響を受けるコンピュータに送信できる匿名のユーザーは、この脆弱性を悪用する可能性があります。

攻撃者はどのようにしてこの脆弱性を悪用する可能性がありますか?

攻撃者は、シングルフォレスト環境またはマルチフォレスト環境のドメインコントローラに対して、潜在的にドメインへの認証サービス拒否の原因となるような特別な細工をした LDAP メッセージを送信することによって、この脆弱性を悪用する可能性があります。これにより、LSASS の応答が停止し、コンピュータが再起動する可能性があります。この特別な細工をした LDAP メッセージを送信するためには、攻撃者はそのドメインに有効なユーザアカウントを持つ必要はありません。攻撃者は匿名アクセスを使用することにより、それを実行することができます。

主にどのようなコンピュータがこの脆弱性による危険にさらされますか?

Windows 2000 ドメイン コントローラのみがこの脆弱性の影響を受ける可能性があります。

Windows 2000 を実行しています。どのコンピュータに更新プログラムを適用する必要がありますか?

Windows 2000 ドメイン コントローラのコンピュータに、この脆弱性を解決するための更新プログラムをインストールする必要があります。しかし、この更新プログラムは、そのほかの役割の Windows 2000 Server に適切にインストールすることができます。マイクロソフトは、今後ドメイン コントローラに昇格させる可能性があるコンピュータに、この更新プログラムを適用することを推奨します。

更新プログラムは何を修正しますか?

この更新プログラムは、LSASS が特別な細工がされた LDAP メッセージを処理する方法を変更し、この脆弱性を排除します。

• SSL を有効にしたコンピュータ （通常、サーバー コンピュータのみ） のみがこの脆弱性の影響を受けます。SSL のサポートは、既定で、影響を受けるすべてのコンピュータで有効ではありませんが、SSL は Web サーバーで一般的に使用され、電子商取引のプログラム、オンライン バンキング、およびセキュリティで保護された通信を必要とするそのほかのプログラムをサポートします。
• Windows Server 2003 は、管理者が手動で PCT を有効に設定した場合にのみ、この問題の影響を受けます。（SSL を有効に設定した場合でも影響を受けます）
• ISA Server 2000 または Proxy Server 2.0 の Web 公開機能で、この脆弱性が悪用されるのをブロックすることができる場合があります。パケット フィルタを有効にし、すべてのパケット フィルタ オプションを選択した ISA Server 2000 の Web 公開機能のテストにより、この攻撃を防ぐことができ、その他の重要な影響も見られないことが確認されました。Proxy Server 2.0 でも、この攻撃が阻止されますが、セキュリティ更新プログラムが Proxy Server 2.0 コンピュータに提供されるまでは、この攻撃により、Proxy Server 2.0 の Web サービスの応答が停止されし、コンピュータを再起動する必要があります。
• ファイアウォールによる最善策および標準のファイアウォールの既定の構成により、ネットワーク境界の外部から行われる攻撃からネットワークを保護することができます。最善策として、インターネットに接続したコンピュータでは、最低限の数のポートを開くようにすることが推奨されます

マイクロソフトは次の回避策のテストを行ないました。これらの回避策は根本的な脆弱性を修正しませんが、既知の攻撃の方法を阻止する手助けとなります。回避策は機能の低下の原因となる場合もあります。その場合、下記に記します。

• レジストリで、PCT サポートを無効に設定

  この回避策は、マイクロソフト サポート技術情報 187498 に説明されています。この内容は、概要が下に記載されています。

  以下の手順は、影響を受けるコンピュータがその使用を交渉するのを防ぐ PCT 1.0 プロトコルを無効にする方法を説明します。

  注 : レジストリ エディタを不適切に使用すると、深刻な問題が発生し、オペレーティング システムの再インストールが必要となる場合があります。マイクロソフトは、レジストリ エディタの不正な使用によって起こる問題を解決することを保証することができません。お客様各自の責任において、レジストリ エディタを使用して下さい。

  レジストリを編集する方法に関する情報は、レジストリ エディタ (Regedit.exe) の「キーおよび値を変更する」ヘルプ トピックまたは Regedt32.exe の 「レジストリの情報を追加または削除する」 および 「レジストリ情報を編集する」 ヘルプ トピックをご覧ください。レジストリの編集の前にバックアップを取っておく必要があることにご注意ください。

1. [スタート] メニューをクリックし、[ファイル名を指定して実行] を選択します。[ファイル名を指定して実行] ダイアログ ボックスに "regedt32" (クオーテーション マークは必要ありません) と入力し [OK] ボタンをクリックします。
2. レジストリエディタで、以下のレジストリ キーを検索します。

   HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server

3. [編集] メニューで、[値の追加] をクリックし、[サーバー] サブキーで、[有効] という新たな REG_DWORD の値を作成します。
4. データの種類ドロップダウン リストで、REG_DWORD を選択します。
5. [値の名前] テキスト ボックスに、"Enabled" (クオーテーション マークは必要ありません) と入力し、[OK] をクリックします。

   注 : この値が既に表示されている場合、その値上でダブルクリックをし、現在の値を編集し、ステップ 6 に進みます。

6. バイナリ エディタで 00000000 の文字列を入力し、新たなキーの値を 0 に設定します。
7. [OK] をクリックし、コンピュータを再起動します。

   注 : PCT を有効にするには、‘Enabled’ レジストリ キーを 00000001 の値に変更し、コンピュータを再起動します。

   注 : Windows XP RTM を使用している場合、2 番目のレジストリ キーも作成し、完全に PCT を無効にする必要があります。これは、Windows XP のそれ以降のバージョンまたは影響を受けるほかのオペレーティング システムでは必要ありません。前述の手順に従い、”Client” という 2 番目の REG_DWORD 値を作成してください。前述の値と同じ値を使用してください。

どのようなことが起こる可能性がありますか?

Microsoft Secure Sockets Layer (SSL) ライブラリの一部である Private Communications Transport (PCT) プロトコルにバッファオーバーランの脆弱性が存在します。SSL を有効に設定したコンピュータおよび、Windows 2000 ドメイン コントローラの一部がこの脆弱性の影響を受けます。

SSL を使用するすべてのプログラムがこの脆弱性の影響を受けます。SSL は一般的に HTTPS と443 ポートを使用することにより Internet Information Services と関連づけられます。しかし、影響を受けるプラットフォーム上で SSL を使用する全てのサービスがこの脆弱性の影響を受けます。Microsoft Internet Information Services 4.0、Microsoft Internet Information Services 5.0、Microsoft Internet Information Services 5.1、Microsoft Exchange Server 5.5、Microsoft Exchange Server 2000、Microsoft Exchange Server 2003、Microsoft Analysis Services 2000 （SQL Server 2000 に同梱されています）、また、PCT を使用するサードパーティ製のプログラムなどがこれらに含まれます（しかしこれらのプログラムのみに限られません）。 SQL Server 2000 では特に、PCT 接続がブロックされるため、この脆弱性の影響は受けません。

Windows Server 2003 および Internet Information Services 6.0 は、管理者が PCT を手動で有効にした場合にのみ、この問題の影響を受けます。（SSL が有効に設定されている場合にも影響を受けます）

この脆弱性が攻撃者によって悪用された場合、プログラムのインストール、データの表示、変更、削除、または完全な特権を持つ新たなアカウントの作成など、該当のコンピュータが完全に制御される可能性があります。

何が原因で起こりますか?

SSL ライブラリでメッセージの入力が適切にチェックされないプロセスによって、この脆弱性が起こります。

Microsoft Secure Sockets Layer (SSL) ライブラリとは何ですか?

SSL ライブラリには、セキュリティで保護された多くの通信プロトコルのサポートが含まれます。これらには、Transport Layer Security 1.0 (TLS 1.0)、Secure Sockets Layer 3.0 (SSL 3.0) および、より古いバージョンで、あまり使用されない Secure Sockets Layer 2.0 (SSL 2.0)、および Private Communication Technology 1.0 (PCT 1.0) プロトコルなどがあります。

これらのプロトコルにより、サーバーとクライアント コンピュータ間の暗号化された接続が提供されます。SSL は、個人情報が、インターネットなどの公開ネットワーク上を転送される場合、保護されます。SSL のサポートは、SSL 証明書を必要とします。これはサーバーにインストールする必要があります。SSL に関する詳細は、マイクロソフト サポート技術情報 245152をご覧ください。

PCT とは何ですか?

Private Communication Technology (PCT) は、インターネット上の暗号化の通信のためにマイクロソフトと Visa インターナショナルが開発したプロトコルです。PCT は、SSL 2.0 の代わりとなるプロトコルとして開発され、SSL と類似しています。メッセージの形式は、非常に類似しており、サーバーが、PCT をサポートするクライアントと同様に SSL をサポートするクライアントと連携を行います。

PCT は、SSL 3.0 によって置き換えられた従来のプロトコルで、現在は一般的に使用されなくなっています。Microsoft Secure Sockets Layer (SSL) ライブラリは、旧バージョンとの互換性のためだけに PCT をサポートします。最新のプログラムおよびサーバーでは、SSL 3.0 が使用され、PCT はもはや必要ではありません。詳細は、MSDN Library をご覧ください。

この脆弱性により、攻撃者は何をする可能性がありますか?

この脆弱性により、攻撃者は、プログラムのインストール、データの表示、変更、削除、完全な特権を持つ新しいアカウントの作成など、影響を受けるコンピュータを完全に制御する可能性があります。

攻撃者はどのようにしてこの脆弱性を悪用する可能性がありますか?

影響を受けるコンピュータの SSL を有効にしたサービスに、特別な細工をした TCP メッセージを送信できる匿名の攻撃者がこの脆弱性を悪用しようとする可能性があります。

攻撃者はどのようにこの脆弱性を悪用する可能性がありますか?

攻撃者は SSL を有効にしたサービスからこの脆弱性の影響を受けるサービスと通信し、特別な細工をした TCP メッセージを送信することによって、この脆弱性を悪用する可能性があります。このようなメッセージを受信すると、影響を受けるコンピュータの該当のサービスが異常終了し、コードが実行される可能性があります。

また、攻撃者は、別の方法によって該当のコンポーネントにアクセスする可能性があります。たとえば、コンピュータに対話的にログオンするか、またはこの脆弱性の影響を受けるコンポーネントにパラメータを （ローカル、またはリモートで） 渡した、別のプログラムを使用するなどの方法が考えられます。

この脆弱性により危険にさらされるのは、主にどのようなコンピュータですか?

SSL を使用するすべてのプログラムがこの脆弱性の影響を受けます。SSL は一般的に HTTPS と443 ポートを使用することにより Internet Information Services と関連づけられます。しかし、影響を受けるプラットフォーム上で SSL を使用する全てのサービスがこの脆弱性の影響を受けます。Microsoft Internet Information Services 4.0、Microsoft Internet Information Services 5.0、Microsoft Internet Information Services 5.1、Microsoft Exchange Server 5.5、Microsoft Exchange Server 2000、Microsoft Exchange Server 2003、Microsoft Analysis Services 2000 （SQL Server 2000 に同梱されています）、また、PCT を使用するサードパーティ製のプログラムなどがこれらに含まれます（しかしこれらのプログラムのみに限られません）。 SQL Server 2000 では特に、PCT 接続がブロックされるため、この脆弱性の影響は受けません。

Windows Server 2003 および Internet Information Services 6.0 は、管理者が PCT を手動で有効にした場合にのみ、この問題の影響を受けます。（SSL が有効に設定されている場合にも影響を受けます）

Enterprise Root Certificate Authority がインストールされた Active Directory ドメインもこの脆弱性による影響を受けます。その理由は、Windows 2000 ドメイン コントローラは、自動的に SSL 接続をリッスンするためです。

Windows Server 2003 はどのように影響を受けますか?

Windows Server 2003 の PCT の実装では、他のプラットフォームで確認されたものと同じバッファ オーバーランが含まれますが、PCT は既定で無効に設定されます。PCT プロトコルがレジストリ キーによって有効に設定されている場合、Windows Server 2003 は、この問題の影響を受けます。そのため、マイクロソフトは、バッファ オーバーランを修正し、PCT を無効にした状態の Windows Server 2003 のセキュリティ更新プログラムをリリースしました。

更新プログラムは何を修正しますか?

この更新プログラムは、渡された情報を PCT の実装が検証する方法を変更し、また PCT プロトコルを無効にすることによってこの脆弱性を排除します。

この更新プログラムにより、動作上の変更が発生しますか?

はい。この更新プログラムは PCT の脆弱性を解決しますが、同時に PCT プロトコルは、現在使用されなくなり、SSL 3.0 に置き換えられているため、PCT を無効にします。この動作は、Windows Server 2003 の既定の設定でも同様です。管理者が、PCT を使用する必要がある場合、本セキュリティ情報の「回避策」の欄に記載されているレジストリ キーを使用し、有効に設定することができます。

• ドメインのメンバである Windows NT 4.0、Windows 2000 および Windows XP コンピュータのみがこの脆弱性による影響を受けます。Windows Server 2003 は、この脆弱性よる影響を受けません。
• 攻撃者がこの脆弱性を悪用するには、ドメインのユーザー オブジェクトを変更する権限を所有していることが必要条件となります。通常、管理者またはアカウント オペレータ グループのメンバのみがこの権限を持ちます。しかしこの権限がドメインの他のユーザー アカウントに委任されている可能性があります。
• ドメインは通常、ユーザー オブジェクトへの変更の詳細の監査をサポートします。これらの監査の記録をレビューすることで、この脆弱性を悪用して他のユーザー アカウントを不正に変更したユーザー アカウントを確認する可能性があります。

マイクロソフトは次の回避策のテストを行ないました。これらの回避策は根本的な脆弱性を修正しませんが、既知の攻撃の方法を阻止する手助けとなります。回避策は機能の低下の原因となる場合もあります。その場合、下記に記します。

• アカウントの修正権限を持つユーザーの数を削減

  攻撃者がこの脆弱性を悪用するには、ドメインで、ユーザー オブジェクトを変更できることが攻撃者にとっての必要条件となります。組織の中には、管理者またはアカウント オペレータ グループユーザー アカウントを不必要に追加している場合があります。たとえば、ヘルプデスクの担当者が、ユーザーのパスワードをリセットする機能のみが必要な場合、管理者は、アカウント オペレータ グループに担当者を追加しないで、その権限を直接委任する必要があります。

  管理グループのユーザー アカウントの数を減らし、既知の攻撃方法をブロックすることができます。信頼される従業員のみが、管理グループのメンバであることが必要です。ドメインの最善策に関する詳細は、Active Directory Best Practice Design Considerations for Delegation of Administration (英語情報) をご覧ください。

どのようなことが起こる可能性がありますか?

これはバッファ オーバーランの脆弱性です。攻撃者にこの脆弱性を悪用された場合、プログラムのインストール、データの表示、変更、削除、完全な特権を持つ新しいアカウントの作成など、影響を受けるコンピュータが完全に制御される可能性があります。

何が原因で起こりますか?

この脆弱性は、winlogon がドメインから値を読み取り、それを割り当てられたバッファに挿入する前にこのデータのサイズをチェックしないために起こります。

winlogon とは何ですか?

Windows ログオン プロセス（winlogon） は、対話的なログオンのサポートを提供する Windows オペレーティング システムのコンポーネントです。winlogon.exe は、Windows で、セキュリティ関連のユーザー操作を管理するプロセスです。winlogon.exe は、ログオンおよびログオフのリクエスト、システムのロック、ロック解除、パスワードの変更などのリクエストを処理します。winlogon.exe は、ログオン プロセス時に ドメインからデータを読み取り、このデータを使用し、ユーザーの環境を設定します。

ドメインとは何ですか?

ドメインは、Windows 2000 Server および Windows Server 2003 によって提供されるサービスで、プリンタ、ファイル共有の場所、個人情報など、事実上すべてのネットワーク オブジェクトに関する情報を保存するために使用されます。

この脆弱性により、攻撃者は何ができる可能性がありますか?

攻撃者にこの脆弱性が悪用された場合、プログラムのインストール、データの表示、変更、削除、完全な特権を持つ新しいアカウントの作成など、影響を受けるコンピュータが完全に制御される可能性があります。

誰がこの脆弱性を悪用する可能性がありますか?

攻撃者がこの脆弱性を悪用するには、ドメインのユーザー オブジェクトを変更する権限と所有していることが攻撃者にとっての必要条件となります。通常、管理者またはアカウント オペレータ グループのメンバのみがこの権限を持ちますが、この権限がドメインのほかのユーザー アカウントに委任されている可能性があります。この権限を持たないユーザー アカウントや匿名ユーザーは、この脆弱性を悪用することはできません。

攻撃者はどのようにこの脆弱性を悪用する可能性がありますか?

攻撃者は、ドメインに格納された値を特別に変更し、不正なデータを含む可能性があります。この値がログオン プロセス中に winlogon の未チェックのバッファに渡された場合、winlogon で、不正なコードが実行される可能性があります。

この脆弱性により危険にさらされるのは、主にどのようなコンピュータですか?

ドメインのメンバの Windows NT 4.0、Windows 2000、Windows XP コンピュータのみがこの脆弱性による影響を受けます。

更新プログラムは何を修正しますか?

この更新プログラムは、割り当てられたバッファに属性を渡す前に、Winlogon プロセスが、その値の長さをチェックする方法を変更することにより、この脆弱性を排除します。

• 攻撃者は、特別な細工をしたファイルをユーザーが開くか、または特別な細工をした画像を含むディレクトリを表示するように誘導し、この脆弱性を悪用する可能性があります。攻撃者が、ユーザーに強制的に悪質なファイルを開かせるようにすることはできません。
• Web ベースの攻撃のシナリオでは、攻撃者がこの脆弱性を悪用するために使用される Web ページを Web サイトにホストすることが、攻撃者にとっての必要条件となります。攻撃者が、ユーザーを強制的に悪質な Web サイトに訪問させることはできません。その代わり、攻撃者は、通常自分のサイトへのリンクをユーザーにクリックさせることにより、ユーザーをそのようなサイトに誘導することが必要条件となります。
• 攻撃者にこの脆弱性が悪用された場合、ユーザーと同じ権限が取得される可能性があります。ユーザーのアカウントが、そのコンピュータ上で低い権限しか設定されていない場合、管理者権限で実行しているユーザーよりも危険にさらされる可能性は低くなります。
• Windows Server 2003 はこの脆弱性による影響はありません。

マイクロソフトは次の回避策のテストを行いました。これらの回避策は根本的な脆弱性を修正しませんが、既知の攻撃の方法を阻止する手助けとなります。回避策は機能の低下の原因となる場合もありますが、その場合には下に記します。

• Outlook 2002 およびそれ以降のバージョン、または Outlook Express 6 SP1 またはそれ以降のバージョンを使用している場合、プレーンテキスト形式で電子メールメッセージを読み取り、HTML 形式の電子メールによる攻撃から保護してください。

  Office XP Service Pack 1 またはそれ以降のバージョンを適用した Microsoft Outlook 2002 ユーザーおよび Internet Explorer 6 Service Pack 1 を適用した Microsoft Outlook Express 6 ユーザーは、デジタル署名のないすべての電子メールメッセージまたは暗号化されていない電子メール メッセージをプレーン テキストでのみ表示することができる機能を有効にすることができます。

  デジタル署名付きの電子メール メッセージまたは暗号化された電子メール メッセージは、この設定によって影響を受けることはなく、元の形式で読み取ることができます。Outlook 2002 でこの設定を有効にするための詳細な情報は、マイクロソフト サポート技術情報 307594 をご覧ください。

  Outlook Express 6 でこの設定を有効にするための情報は、マイクロソフト サポート技術情報 291387 をご覧ください。

  回避策の影響 :

  プレーン テキスト形式で表示された電子メール メッセージには、画像、特殊フォント、アニメーション、または他のリッチ コンテンツは含まれません。さらに次の事項があります。

  • 変更はプレビュー ペインおよび開いているメッセージに適用されます。
  • 写真は、紛失を避けるため、添付ファイルとなります。
  • メッセージはメール ストアで依然としてリッチ テキスト、または HTML 形式であるため、オブジェクト モデル （カスタム コード ソリューション） は、予想されない動作をする場合があります。

どのようなことが起こる可能性がありますか?

これはバッファ オーバーランの脆弱性です。この脆弱性により、攻撃者は、プログラムのインストール、データの表示、変更、削除、完全な特権を持つ新しいアカウントの作成など、影響を受けるコンピュータを完全に制御する可能性があります。

何が原因で起こりますか?

Windows メタファイル (WMF) および拡張メタファイル (EMF) の画像形式のレンダリングにある未チェックのバッファにより起こります。

Windows メタファイル (WMF) および拡張メタファイル (EMF) の画像形式とは何ですか?

WMF の画像は、16-bit のメタファイル形式で、ベクトル情報およびビットマップ情報の両方を含むことができます。WMF は、Windows オペレーティング システムに最適化されています。

EMF 画像は 32-bit 形式で、ベクトル情報およびビットマップ情報の両方を含むことができます。この形式は Windows メタファイル形式が改良されたもので、拡張機能が含まれます。

画像の種類および形式に関する詳細は、マイクロソフト サポート技術情報 320314をご覧ください。 (日本語版は近日中に利用可能となります) これらのファイル形式に関する詳細は、MSDN Library (英語情報) をご覧ください。

この脆弱性により、攻撃者は何を行う可能性がありますか?

この脆弱性により、攻撃者は、プログラムのインストール、データの表示、変更、削除、完全な特権を持つ新しいアカウントの作成など、影響を受けるコンピュータを完全に制御する可能性があります。

攻撃者はどのようにしてこの脆弱性を悪用する可能性がありますか?

影響を受ける種類の画像のレンダリングを行うプログラムがこの攻撃による影響を受ける可能性があります。以下は、その例です。

• 攻撃者は、この脆弱性を悪用するように設計した悪質な Web サイトをホストし、ユーザーがそのような Web サイトをInternet Explorer 6 を介して表示するように誘導する可能性があります。
• また、攻撃者は Outlook 2002 または Outlook Express 6 を介して、この脆弱性を悪用するように設計された特別な細工をした画像を添付した HTML 形式の電子メール メッセージを作成し、攻撃者はユーザーがそのような HTML 形式の電子メール メッセージを表示するように誘導する可能性があります。
• 攻撃者は、Office のドキュメントに特別な細工をした画像を埋め込み、次にそのドキュメントをユーザーに表示させるように誘導する可能性があります。
• 攻撃者は、ローカル ファイル システムまたはネットワーク共有に特別な細工をした画像を追加し、次にユーザーが Windows XP のエクスプローラを使用して、そのディレクトリをプレビューするように誘導する可能性があります。

主にどのようなコンピュータがこの脆弱性による危険にさらされますか

この脆弱性は、攻撃者が特別な細工をしたファイルを影響のあるシステムでユーザーに開かせるか、または特別な細工をした画像を含むディレクトリを表示させるように誘導した場合にのみ悪用される可能性があります。攻撃者は、ユーザーに悪質なファイルを開かせるように強制的に仕向けることはできません。

Web ベースの攻撃のシナリオでは、攻撃者がこの脆弱性を悪用するために使用する Web ページをWeb サイトにホストすることが、攻撃者にとっての必要条件となります。攻撃者が、ユーザーを強制的に悪質な Web サイトに訪問させることはできません。その代わり、攻撃者は通常、自分のサイトへのリンクをユーザーにクリックさせることにより、ユーザーをそのようなサイトに誘導することが必要条件となります。

更新プログラムは何を修正しますか?

この更新プログラムは、Windows がこの脆弱性の影響を受ける種類の画像を検証する方法を変更することにより、この脆弱性を排除します。

• Web ベースの攻撃のシナリオでは、攻撃者がこの脆弱性を悪用するために使用される Web ページをWeb サイトにホストすることが、攻撃者にとっての必要条件となります。攻撃者は、ユーザーを強制的に悪質な Web サイトに訪問させることはできません。その代わり、攻撃者は、通常自分のサイトへのリンクをユーザーにクリックさせることにより、ユーザーをそのようなサイトに誘導することが必要条件となります。
• 既定で、Outlook Express 6、Outlook 2002 および Outlook 2003 では、HTML 形式の電子メール メッセージが制限付きサイト ゾーンで開かれます。また、Outlook 98 および Outlook 2000 では、Outlook 電子メール セキュリティ アップデートが適用されている場合、HTML 形式の電子メール メッセージを制限付きサイト ゾーンで開きます。制限付きサイト ゾーンは、この脆弱性を悪用する危険性を緩和する手助けをします。

  HTML 形式の電子メールによる攻撃の危険性は、次の条件がすべて当てはまる場合、大幅に低減されます。

  • マイクロソフト セキュリティ情報 MS03-040 またはそれ以降のInternet Explorer 用の累積的なセキュリティ更新プログラムを適用する。
  • Internet Explorer 6 またはそれ以降を使用する。
  • 電子メール セキュリティ アップデートがインストールされている Microsoft Outlook Express 6 以降、または既定の構成のMicrosoft Outlook 2000 Service Pack 2 以降を使用する。
• 攻撃者にこの脆弱性が悪用された場合、ユーザーと同じ権限が取得される可能性があります。ユーザーのアカウントが、コンピュータ上で低い権限しか設定されていない場合、管理者権限で実行しているユーザーよりも危険にさらされる可能性は低くなります。
• Windows NT 4.0 および Windows 2000 は、この脆弱性による影響は受けません。

マイクロソフトは次の回避策のテストを行いました。これらの回避策は根本的な脆弱性を修正しませんが、既知の攻撃の方法を阻止する手助けとなります。回避策は機能の低下の原因となる場合もありますが、その場合には下に記します。

• HCP プロトコルの登録削除 :

  攻撃を回避するために、レジストリから以下のキーを削除し、HCP プロトコルの登録削除してください。: HKEY_CLASSES_ROOT\HCP

  • [スタート] メニューから、[ファイル名を指定して実行] をクリックします。
  • regedit と入力し、[OK] をクリックします。(レジストリ エディタ が起動します。)
  • HKEY_CLASSES_ROOT を拡張し、HCP キーをハイライトします。
  • HCP キーを右クリックし、[削除] をクリックします。

  警告 : レジストリ エディタを不正確に使用すると、Windows の再インストールが必要となる深刻な問題が起こります。マイクロソフトはレジストリエディタの不正確な使用が原因となる問題を解決することは保証できません。お客様各自の責任において、レジストリ エディタを使用して下さい。

  回避策の影響 :

  HCP プロトコルを登録削除すると、hcp:// を使用するすべてのローカルの正当なヘルプ リンクが壊れます。たとえば、コントロール パネルのリンクが機能しなくなります。

• Outlook 2000 SP1 またはそれ以前を使用している場合、Outlook 電子メールセキュリティアップデートをインストールする

  既定で、Outlook Express 6、Outlook 2002 および Outlook 2003 では、HTML 形式の電子メール メッセージが制限付きサイト ゾーンで開かれます。また、Outlook 98 および Outlook 2000 では、Outlook 電子メール セキュリティ アップデートが適用されている場合、HTML 形式の電子メール メッセージを制限付きサイト ゾーンで開きます。

  これらの製品のいずれかを使用しているお客様は、この脆弱性の悪用を試みる電子メール中の悪質なリンクをクリックしない限り、この脆弱性を悪用した電子メールによる攻撃の危険性を低減することができます。

• Outlook 2002 またはそれ以降のバージョン、または Outlook Express 6 SP1 またはそれ以降のバージョンを使用している場合、HTML 形式の電子メールによる攻撃に対し保護するために、電子メールメッセージをテキスト形式で読み取る

  Office XP Service Pack 1 またはそれ以降を適用している Microsoft Outlook 2002 および Internet Explorer 6 Service Pack 1 を適用した Microsoft Outlook Express 6 のユーザーはデジタル署名されていないすべての電子メールまたは暗号化されていない電子メール メッセージをテキストのみで表示する設定を有効にすることができます。

  デジタル署名された電子メール メッセージまたは暗号化された電子メール メッセージはこの設定の影響を受けず、元の形式で読み取られる場合があります。Outlook 2002 のこの設定を有効にすることに関する詳細な情報はサポート技術情報 307594 をご覧下さい。

  Outlook Express 6 のこの設定を有効にすることに関する詳細な情報はサポート技術情報 291387 をご覧下さい。

  回避策の影響 :

  テキスト形式で表示された電子メール メッセージは写真、特別なフォント、アニメーション、またはそのほかのリッチコンテンツを含むことができません。さらに次の事項があります。

  • プレビュー ウィンドウおよび開いているメッセージに変更が適用されます。
  • 写真は紛失を避けるため、添付ファイルとなります。
  • メッセージはメール ストアで依然としてリッチテキストまたは HTML 形式であるため、オブジェクト モデル (カスタムコード ソリューション) は予期されない動作をする場合があります。

どのようなことが起こる可能性がありますか?

これはリモートでコードが実行される脆弱性です。攻撃者はこの脆弱性を悪用し、影響を受けるコンピュータを完全に制御する可能性があります。この脆弱性により、攻撃者は、プログラムのインストール、データの表示、変更、削除、完全な特権を持つ新しいアカウントの作成など、影響を受けるコンピュータを完全に制御する可能性があります。

何が原因で起こりますか?

「ヘルプとサポート」で行われる入力検証に使用されるプロセスが原因で起こります。

「ヘルプとサポート」とは何ですか?

「ヘルプとサポート」(HSC) とは、様々なトピックに関するヘルプを提供する Windows の機能です。たとえば、HSC により、ユーザーは Windows の機能に関する知識、ソフトウェアの更新のダウンロードおよびインストールの方法、特定のハードウェアデバイスの Windows との互換性の確認の方法、マイクロソフトからのヘルプを受ける方法を取得できます。

ユーザーおよびプログラムは、URL のリンクのプレフィックスを "http://" の代わりに "hcp://" を使用することにより、「ヘルプとサポート」への URL のリンクを利用することができます。

HCP プロトコルとは何ですか?

HCP プロトコルとは Web ブラウザを開く目的で URL リンクを実行できる HTTP プロトコルと類似しており、「ヘルプとサポート」機能を開く URL を実行できます。

「ヘルプとサポート」の何が問題になっていますか?

入力検証にエラーが発生します。

この脆弱性により、攻撃者は何ができますか?

この脆弱性により、攻撃者は、プログラムのインストール、データの表示、変更、削除、完全な特権を持つ新しいアカウントの作成など、影響を受けるコンピュータを完全に制御する可能性があります。

攻撃者はどのようにしてこの脆弱性を悪用する可能性がありますか?

攻撃者がこの脆弱性を悪用するには、不正な Web ページをホストし、次にユーザーがその Web サイトを表示するように誘導することが攻撃者にとっての必要条件となります。また攻撃者が、特別な細工をしたリンクを挿入した HTML 形式の電子メール メッセージを作成し、次にユーザーがその電子メール メッセージを表示し、不正なリンクをクリックするように誘導することが必要条件となります。ユーザーがこのリンクをクリックした場合、任意の HCP URL を持つ Internet Explorer ウィンドウが開き、攻撃者の任意のコードが実行される恐れがあります。

主にどのようなコンピュータがこの脆弱性による危険にさらされますか?

Windows XP および Windows Server 2003 には、「ヘルプとサポート」の影響を受けるバージョンが含まれています。Windows NT 4.0 および Windows 2000 には「ヘルプとサポート」が含まれていないため、この脆弱性による影響はありません。

Windows Server 2003 上で Internet Explorer を実行しています。Windows Server 2003 により、この脆弱性は緩和されますか?

いいえ。既定で、Windows Server 2003 上の Internet Explorer は Internet Explorer セキュリティ強化の構成という制限されたモードで実行されますが、HCP プロトコルは、既定で「ヘルプとサポート」にアクセスすることができます。そのため、Windows Server 2003 はこの脆弱性による影響を受けます。

Internet Explorer のセキュリティ強化の構成に関する詳細は、次の Web サイトをご覧ください。

更新プログラムは何を修正しますか?

この更新プログラムは、「ヘルプとサポート」に渡されるデータの検証を変更し、この脆弱性を排除します。

• 攻撃者がこの脆弱性を悪用するには、有効なログオン資格情報を所有していることが必要条件となります。この脆弱性は匿名ユーザーによって悪用されることはありません。
• Windows NT 4.0、Windows XP、Windows Server 2003 は、この脆弱性による影響はありません。Windows NT 4.0 は、ユーティリティ マネージャを実装しません。
• Windows 2000 Hardening Guide （英語情報） では、ユーリティリティ マネージャ サービスを無効にすることが推奨されています。これらのガイドラインに適合する環境では、この脆弱性による危険性は低減されます。

マイクロソフトは次の回避策のテストを行いました。これらの回避策は根本的な脆弱性を修正しませんが、既知の攻撃の方法を阻止する手助けとなります。回避策は機能の低下の原因となる場合もありますが、その場合には下に記します。

• グループ ポリシーを使用し、この機能を必要としない影響を受けるすべてのコンピュータでユーティリティ マネージャを無効にします。

  ユーティリティ マネージャを悪用した攻撃が行われる可能性があるため、グループ ポリシーを使用して、ユーティリティ マネージャを無効にしてください。ユーティリティ マネージャのプロセス名は Utilman.exe です。

  注 : Windows 2000 Hardening Guide （英語情報） には、ユーティリティ マネージャを無効にするための情報が記載されています。

  回避策の影響 :

  ユーティリティ マネージャは、オペレーティング システムの多くのアクセス機能に容易なアクセスを提供します。このアクセスは、これらの制限が排除されない限り利用可能となりません。手動で多くのアクセス機能を開始する方法に関する方法は、次のWeb サイト (英語情報) をご覧ください。

どのようなことが起こる可能性がありますか?

これは、特権の昇格の脆弱性です。この脆弱性により、攻撃者は、プログラムのインストール、データの表示、変更、削除、完全な特権を持つ新しいアカウントの作成など、影響を受けるコンピュータを完全に制御する可能性があります。

何が原因で起こりますか?

ユーティリティ マネージャが使用するプロセスがアプリケーションを開始します。ユーティリティ マネージャがシステム特権でアプリケーションを開始することができる可能性があります。

ユーティリティマネージャとは何ですか?

ユーティリティ マネージャは、Microsoft 拡大鏡、ナレータ、スクリーン キーボードのようなアクセシビリティ プログラム の状態をチェック、それらの起動、停止を行うことができるアクセシビリティ ユーティリティです。

この脆弱性により、攻撃者は何を行う可能性がありますか?

この脆弱性により、攻撃者は、プログラムのインストール、データの表示、変更、削除、完全な特権を持つ新しいアカウントの作成など、影響を受けるコンピュータを完全に制御する可能性があります。

どのような人物により、この脆弱性が悪用される可能性がありますか?

攻撃者がこの脆弱性の悪用を試みるには、コンピュータにログオンし、その後、ユーティリティ マネージャを起動し、特別な細工をしたメッセージをユーティリティ マネージャに送信するプログラムを実行することが必要条件となります。

攻撃者はどのようにしてこの脆弱性を悪用する可能性がありますか?

攻撃者がこの脆弱性を悪用するには、まず、Windows 2000 上でユーティリティ マネージャを起動し、次にこの脆弱性を悪用するよう特別に設計したアプリケーションを実行することが必要条件となります。Window 2000 の既定の構成では、ユーティリティ マネージャ はインストールされますが、実行はされません。この脆弱性により、攻撃者は Windows 2000 コンピュータを完全に制御する可能性があります。

主にどのようなコンピュータがこの脆弱性による危険にさらされますか?

Windows 2000 のみがこの脆弱性の影響を受けます。Windows 2000 ベース上のワークステーションおよびターミナル サーバーが主に危険にさらされます。サーバーは、十分な管理資格情報を持たないユーザーがサーバーにログオンし、プログラムを実行するアクセス許可が与えられている場合にのみ危険にさらされます。しかし、最善策ではとして、これを無効にすることが強く推奨されます。

Windows 2000 を使用していますが、ユーティリティマネージャまたはアクセシビリティ機能は何も使用していません。それでもこの脆弱性による影響はありますか?

はい。ユーティリティ マネージャは既定でインストールされますが、実行されません。

この脆弱性はインターネット上で悪用される可能性がありますか?

いいえ。攻撃者がこの攻撃を行うには、攻撃をする標的の特定のコンピュータにログオンすることが必要条件となります。攻撃者は、この脆弱性を悪用し、リモートでプログラムを読み込み、実行することはできません。

更新プログラムは何を修正しますか?

この更新プログラムは、ユーティリティ マネージャがアプリケーションを開始する方法を変更し、この脆弱性を排除します。

• 攻撃者が有効なログオン資格情報を所有していない限り、この脆弱性が悪用されることはありません。この脆弱性は匿名ユーザーにより、悪用される可能性はありません。
• Windows NT 4.0、Windows 2000 および Windows Server 2003 はこの脆弱性による影響を受けません。

マイクロソフトは次の回避策のテストを行いました。これらの回避策は根本的な脆弱性を修正しませんが、既知の攻撃の方法を阻止する手助けとなります。回避策による機能の低下の原因となる場合について、下に記します。

影響を受ける Windows Management Interface (WMI) プロバイダを削除する

ローカル管理者の特権を持つ管理者は、ファイル拡張子 ‘.vbs’ を持つテキスト ファイルに次のスクリプトを挿入し、それを実行することにより、影響を受ける Windows Management Interface (WMI) プロバイダを削除することができます。

影響を受ける WMI Provider を削除するためには

set osvc = getobject("winmgmts:root\cimv2")
set otrigger = osvc.get("__win32provider='cmdtriggerconsumer'")
otrigger.delete

この更新プログラムを自動的にインストールすると、上記の影響を受ける WMI プロバイダが再登録されます。更新プログラムの適用後、コンピュータを通常の機能に復元するために必要となる追加のステップはありません。

回避策の影響 :

イベント ベースのトリガとして作成されたタスクは、このプロバイダが登録されていない間は機能しません、

注 : まれに、Windows XP はこのWMI プロバイダを再登録する場合があります。たとえば、Windows XP が WMI リポジトリが破損したことを検出した場合、影響を受ける WMI プロバイダの再登録を試行する可能性があります。

どのようなことが起こる可能性がありますか?

これは特権の昇格の脆弱性です。この脆弱性により、攻撃者は、プログラムのインストール、データの表示、変更、削除、完全な特権を持つ新しいアカウントの作成など、影響を受けるコンピュータを完全に制御する可能性があります。

何が原因で起こりますか?

特別な状況下では、Microsoft Windows XP で特権を持たないユーザーが、システム特権で実行されるタスクを作成する可能性があります。

この脆弱性により、攻撃者は何を行う可能性がありますか?

この脆弱性により、攻撃者は、プログラムのインストール、データの表示、変更、削除、完全な特権を持つ新しいアカウントの作成など、影響を受けるコンピュータを完全に制御する可能性があります。

攻撃者はどのようにしてこの脆弱性を悪用する可能性がありますか?

この脆弱性が悪用されるには、コンピュータにログオンし、タスクを作成できることが攻撃者にとっての必要条件となります。攻撃者が有効なログオン資格情報を所有していない限り、この脆弱性が悪用されることはないため、リモート コンピュータはこの脆弱性の危険にさらされません。

主にどのようなコンピュータがこの脆弱性による危険にさらされますか?

Windows XP のみがこの脆弱性の影響を受けます。

更新プログラムは何を修正しますか?

この更新プログラムは、ユーザーが、高いレベルの特権を持つタスクを作成することを防ぐことにより、この脆弱性を排除します。

この更新プログラムはそのほかの動作上の変更を含みますか?

はい。この更新プログラムは下記で説明されているように、機能のいくつかの変更を含みます。

• この更新プログラム以前に、ユーザーがユーザー名およびパスワードを提供せずに “Eventtriggers.exe” コマンド ライン ツールを使用してイベント ベースのトリガを作成できる場合がありました。この更新プログラムの適用後、イベント ベースのトリガを “Eventttrigers.exe” を使用して作成するためには、有効なユーザー名を提供する必要がある場合があります。“Eeventttrigers.exe” コマンド ライン オプションに関する詳細情報は こちらの Web サイト (英語情報) をご覧下さい。
• 以前、管理者はイベント ベースのトリガをタスク スケジューラ サービスを停止または無効にして作成することができました。現在、タスク スケジューラ サービスは実行されている必要があります。タスク スケジューラに関する詳細情報は、こちらの Web サイト (英語情報) をご覧下さい。
• 新しい制限である 1,000 のトリガが、この更新プログラムの一部として確立されました。この制限を超える既存のイベント ベースのトリガは、この更新プログラムの適用後も引き続き機能します。しかし、追加のイベント ベースのトリガは作成されないでしょう。
• この更新プログラムのインストール後、イベント ベースのトリガでのアクセス許可は強化されます。

• 攻撃者が有効な資格情報を所有し、ローカルでログオンできない限り、この脆弱性が悪用されることはありません。この脆弱性がリモートで悪用される可能性はありません。
• Windows XP および Windows Server 2003 はこの脆弱性による影響を受けません。

なし

どのようなことが起こる可能性がありますか?

これは、特権の昇格の脆弱性です。この脆弱性により、攻撃者は、プログラムのインストール、データの表示、変更、削除、完全な特権を持つ新しいアカウントの作成など、影響を受けるコンピュータを完全に制御する可能性があります。

何が原因で起こりますか?

LDT でエントリを作成するために使用されるプログラミング インターフェイスにセキュリティ上の脆弱性が存在します。これらのエントリには LDT に関する情報が含まれています。攻撃者は悪質なエントリを作成し、保護されたカーネル メモリへのアクセスを取得する可能性があります。

Local Descriptor Table (LDT) とは何ですか?

Local Descriptor Table (LDT) には Descriptor と呼ばれるエントリが含まれ、これら Descriptor にはメモリの特定のセグメントを定義する情報が含まれています。

Descriptor エントリが LDT で作成される方法の何が問題になっていますか?

プログラミング インターフェイスは、プログラムが、保護されているメモリの領域をポイントする LDT でDescriptorエントリを作成することです。これを許可すべきではありません。

この脆弱性により、攻撃者は何を行う可能性がありますか?

この脆弱性により、攻撃者は影響を受けるコンピュータを完全に制御する可能性があります。攻撃者は、プログラムのインストール、データの表示、変更、削除、完全な特権を持つ新しいアカウントの作成など、コンピュータで任意の操作を行う可能性があります。

どのような人物により、この脆弱性が悪用される可能性がありますか?

コンピュータにローカルでログオンし、プログラムを実行できる人物により、この脆弱性が悪用される可能性があります。

攻撃者はどのようにしてこの脆弱性を悪用する可能性がありますか?

この脆弱性が悪用されるには、まず、コンピュータにログオンすることが攻撃者にとっての必要条件となります。次にこの脆弱性の悪用を意図した特別にデザインされたプログラムが実行され、影響を受けるコンピュータでの完全な制御が取得される可能性があります。

主にどのようなコンピュータがこの脆弱性による危険にさらされますか?

ワークステーションおよびターミナル サーバーが主にこの危険にさらされます。充分な管理者資格情報が与えられていないユーザーがログオンし、プログラムを実行できる場合のみ、サーバーはこの危険にさらされます。そのため、最善策では、これを許可しないことを強く推奨しています。

この脆弱性がインターネットで悪用される可能性はありますか?

いいえ、ありません。攻撃者が攻撃の標的となる特定のコンピュータにログオンできない限り、この脆弱性が悪用されることはありません。この脆弱性で、攻撃者によりプログラムがリモートで読み取られ、実行されることはありません。

更新プログラムは何を修正しますか?

記述子エントリがLDT で作成される方法を変更することにより、この更新プログラムはこの脆弱性を排除します。

• 最も一般的なシナリオで、NetMeeting (H.323 を使用) が実行されている場合に限り、この脆弱性の影響を受けます。
• 最も一般的なシナリオで、インターネット接続ファイアウォール (ICF) を使用し、H.323 ベースのアプリケーションを実行していないコンピュータはこの脆弱性の影響を受けません。
• Windows NT 4.0 は、NetMeeting のスタンドアロン バージョンが管理者により手動でインストールされていない限り、この脆弱性の影響を受けません。

マイクロソフトは次の回避策のテストを行いました。これらの回避策は根本的な脆弱性を修正しませんが、既知の攻撃の方法を阻止する手助けとなります。回避策による機能の低下の原因となる場合について、下に記します。

• ポート TCP 1720 および TCP 1503 の受信と送信の両方をファイアウォールでブロックする

  ファイアウォールによる最善策および標準のファイアウォールの既定の構成により、ネットワーク境界の外部から行われる攻撃からネットワークを保護することができます。最善策として、インターネットに接続したシステムコンピュータでは、最低限の数のポートを開き、不必要なポートがインターネットからインバウンド接続を行わないようにブロックすることを、マイクロソフトは推奨します。

  回避策の影響 :

  受信と送信で使われる TCP ポート 1503 および 1720 がブロックされている場合、ユーザーは Internet Locator Service (ILS) (英語情報) またはそのほかの NetMeeting クライアントに接続できなくなります。

どのようなことが起こる可能性がありますか?

これはバッファ オーバーランの脆弱性です。この脆弱性により、攻撃者は、プログラムのインストール、データの表示、変更、削除、完全な特権を持つ新しいアカウントの作成など、影響を受けるコンピュータを完全に制御する可能性があります。

何が原因で起こりますか?

Microsoft の H.323 の実装にバッファのチェックが行われないためです。

H.323 とは何ですか?

H.323 とは、サービスの保証された品質を提供しないネットワーク (インターネットなど) でのマルチメディアのための、機器およびサービスが通信する方法を指定している ITU 標準です。H.323 ターミナルおよび機器はリアルタイムのビデオ、音声、データまたはこれらの要素の組み合わせを伝達することができます。オーディオおよびビデオの H.323 を使用する製品により、異なる作りやモデルの電話を使用する人たちが電話を使用して通信できるように、ユーザーはインターネットでそのほかの人たちに接続し、通信することができます。

どの影響を受けるアプリケーションが H.323 プロトコルを使用しているのですか?

H.323 プロトコルは多くのマイクロソフトのアプリケーションおよびオペレーティング システムのコンポーネントに実装されています。この問題は次のサービスまたはアプリケーションの 1 つまたは複数が実行されているコンピュータに影響を及ぼす可能性があります。

• Telephony Application Programming Interface (TAPI) ベースのアプリケーション
• NetMeeting
• インターネット接続ファイアウォール (ICF)
• インターネット接続共有 (ICS)
• Microsoftルーティングとリモート アクセス サービス

TAPI とは何ですか?

Windows Telephony Applications Programming Interface (TAPI) は Windows Open System Architecture の一部で、TAPI を利用することで、開発者はテレフォニー アプリケーションを作成することができます。TAPI はオープン業界標準で、世界中のテレフォニーおよびコンピューティングのコミュニティからの重要な情報で定義されています。TAPI はハードウェアに独立しているため、互換性のあるアプリケーションは多種の PC およびテレフォニー ハードウェアで実行することができ、また、多種多様のネットワーク サービスをサポートすることができます。TAPI は H.323 プロトコルを実装します。TAPI を使用するアプリケーションはこのセキュリティ情報で説明されている問題の影響を受ける可能性があります。

影響を受けるコンピュータに既定でインストールされている TAPI ベースの H.323 アプリケーションはありますか?

Microsoft Phone Dialer のみが Windows 2000 および Windows XP に既定でインストールされる H.323 TAPI ベースのアプリケーションです。サードパーティのアプリケーションは TAPI で H.323 機能を有効にし、使用する場合があります。

注 : Microsoft Phone Dialer は Windows Server 2003 に含まれていません。

NetMeeting とは何ですか?

NetMeeting は Windows のすべてのユーザーに、ポイント ツー ポイントのオーディオやビデオの配信、マルチポイント データ カンファレンス、テキスト チャット、および、ホワイトボードおよびファイルの転送で、インターネットおよびエンタープライズ カンファレンス ソリューションを提供します。NetMeeting は既定で H.323 プロトコルを実装し、インストールされていますが、影響を受けるすべてのコンピュータで既定では実行されていません。

NetMeeting を実行していますが、Internet Connection Sharing、ICF または Routing and Remote Access Service (RRAS) は実行していない場合、この脆弱性の影響を受けますか?

はい。NetMeeting を実行している間、この問題の影響を受けます。

NetMeeting は実行していますが、ILS サーバーまたはピアツーピアの NetMeeting セッションには接続していない場合、この脆弱性の影響を受けますか?

はい。TCP ポート 1720 および 1503 がコンピュータでブロックされていない限り、この脆弱性の影響を受けます。

NetMeeting のスタンドアロンバージョンを今までにインストールしたことがない場合でも、この脆弱性の影響を受けますか?

NetMeeting は Windows 2000、Windows XP および Windows Server 2003 に同梱されており、この更新プログラムはこれらの Windows に同梱されている NetMeeting のバージョンを解決します。NetMeeting はそのほかのオペレーティング システム用のスタンドアロンのダウンロードとして、またそのほかのアプリケーションの一部として利用可能です。このため、これらのアプリケーションもこの問題の影響を受ける可能性があります。NetMeeting のスタンドアロン バージョンをインストールしている場合、この脆弱性を解決する更新バージョンをインストールする必要があります。これはこちらからダウンロード、インストールすることができます。この脆弱性を解決する更新されたアプリケーションのバージョンはバージョン 3.01 (4.4.3399) です。

Windows 98、 Windows 98 Second Edition および、Windows Millennium Edition はこの脆弱性の影響を受けますか?

いいえ。ただし、これらの製品にはNetMeeting が含まれている可能性がありますが、脆弱性の影響は警告ではありません。 この脆弱性を解決する方法としてにユーザーはスタンドアロンの NetMeeting をこちらの Web サイトからダウンロードし、インストールすることができます。深刻度の定義についてはこちらの Web サイトをご覧下さい。

インターネット接続ファイアウォールとは何ですか?

インターネット接続ファイアウォール (ICF) は Windows XP または Windows Server 2003 を実行しているコンピュータに基本的な侵入防止機能を提供します。これは、インターネット接続共有で使用されているホーム ネットワークの部分であるコンピュータや、公衆ネットワークに直接接続しているコンピュータ用にもデザインされています。

Windows XP または Windows Server 2003 でインターネット接続ファイアウォールのみを実行している場合、この脆弱性の影響を受けますか?

いいえ、なにもしなければ自動で影響は受けません。しかし、ICF が実行されている場合でも、NetMeeting を使用すれば、この問題の影響を受ける可能性があります。NetMeeting は必要なポートを ICF に開けるので、この脆弱性にさらされます。

また、手動で TCP ポート 1720 および 1503 を開くと、この脆弱性にさらされる可能性があります。サードパーティのアプリケーションもまた、ICF が H.323 通信への応答でポートを開く原因となる可能性があります。

インターネット接続共有 (ICS) とは何ですか?

インターネット接続共有 (ICS) を使うことで、ユーザーは 1 台のコンピュータをインターネットに接続し、ホーム ネットワークまたは小規模なオフィス ネットワークのそのほかのいくつかのコンピュータとインターネット サービスを共有することができます。Windows XP のネットワーク セットアップ ウィザードは、ネットワークのすべてのコンピュータと 1 つのインターネット接続を共有するために必要なネットワーク接続のすべてを自動で設定します。各コンピュータは、コンピュータが直接インターネットに接続しているように Internet Explorer および Outlook Express のようなプログラムを使用することができます。

ICS は Windows 2000、Windows XP および Windows Server 2003 の機能ですが、影響を受けるコンピュータで、既定で有効ではありません。

インターネット接続共有 (ICS) を有効にしていますが、インターネット接続ファイアウォール (ICF) を有効にしていない場合、この脆弱性の影響を受けますか?

はい、受けます。インターネット接続共有 (ICS) はコンピュータがこの問題の影響を受けるようになるポートを有効にします。

ICF および 。インターネット接続共有 (ICS) が実行されている場合、ユーザーもまた NetMeeting 、または、手動で 1503ポート、1720 ポートを開かない限り、この攻撃が行われることはありません。

Microsoft ルーティングとリモートアクセスサービス (RRAS) とは何ですか?

Microsoft ルーティングとリモート アクセス サービス (RRAS) により、Windows 2000 Server または Windows Server 2003 を実行しているコンピュータがネットワーク ルータとして機能することができるようになります。リモート アクセスにより、リモート システムを使用しているユーザーは組織のネットワークまたはインターネットへの論理的な接続を行うことができます。Microsoft ルーティングとリモート アクセス サービス (RRAS) はネットワークへ、またはネットワークからルートされた H.323 リクエストをサポートします。

Windows 2000 で Microsoft ルーティングとリモートアクセスサービス (RRAS) を実行している場合、この脆弱性の影響を受けますか?

はい、受けます。既定で Windows 2000 は NAT 機能で Microsoft ルーティングとリモート アクセス サービス (RRAS) を使用します。これにより、この脆弱性にさらされます。しかし、管理者は ‘netsh’ コマンドを使用することにより、H.323 機能を無効にすることができます。詳細なステップは、サポート技術情報 838834 に説明されています。

注: コンピュータが NAT なしで別の Microsoft ルーティングとリモート アクセス サービス (RRAS) を実行するよう構成されている場合 (例 : Virtual Private Network、OSPF または Routing Information Protocol)、この脆弱性の影響は受けません。

Windows Server 2003 で RRAS を実行している場合、この脆弱性の影響を受けますか?

いいえ、受けません。既定で Windows Server 2003 の RRAS は H.323 機能を有効にしません。しかし、管理者が H.323 機能を有効にすると、コンピュータはこの脆弱性にさらされる可能性があります。

この脆弱性により、攻撃者は何を行う可能性がありますか?

この脆弱性により、攻撃者は、プログラムのインストール、データの表示、変更、削除、完全な特権を持つ新しいアカウントの作成など、影響を受けるコンピュータを完全に制御する可能性があります。

どのような人物により、この脆弱性が悪用される可能性がありますか?

特別に作成された H.323 リクエストを、影響を受けるコンピュータに送ることができる匿名のユーザーにより、この脆弱性が悪用される可能性があります。

攻撃者はどのようにしてこの脆弱性を悪用する可能性がありますか?

攻撃者は NetMeeting および/または H.323 ベースの TAPI アプリケーション、またはその両方を実行しているユーザーを見つけることにより、この脆弱性を悪用する可能性があります。

また、インターネット接続共有 (ICS) を有効にしているコンピュータで、リモートでコードを実行することにより、インターネット接続共有 (ICS) を介し、この脆弱性を悪用する可能性があります。ICF および インターネット接続共有 (ICS) が実行されている場合、ユーザーもまた NetMeeting アプリケーションを使用していない限り、この攻撃は行われません。

主にどのようなコンピュータがこの脆弱性による危険にさらされますか?

NetMeeting または H.323 ベースのアプリケーションのいずれかを実行しているコンピュータが主にこの脆弱性による危険にさらされます。

更新プログラムは何を修正しますか?

この更新プログラムは影響を受けるコンピュータが特別に作成された H.323 リクエストを処理する方法を変更します。

• 攻撃者が有効なログオン資格情報を所有し、ローカルでログオンできない限り、この脆弱性が悪用されることはありません。この脆弱性はリモートで実行されることはありません。
• Windows XP および Windows Server 2003 はこの脆弱性の影響を受けません。

なし

どのようなことが起こる可能性がありますか?

これは、特権の評価の脆弱性です。この脆弱性により、攻撃者は、プログラムのインストール、データの表示、変更、削除、完全な特権を持つ新しいアカウントの作成など、影響を受けるコンピュータを完全に制御する可能性があります。攻撃者がコンピュータにローカルでログオンし、プログラムを実行できない限り、この脆弱性が悪用されることはありません。

何が原因で起こりますか?

VDM サブシステムを処理するオペレーティング システム コンポーネントにより、保護されたカーネルメモリへのアクセスが取得される可能性があります。特定の状況で、いくつかの特権を持つオペレーティング システムの機能がコンピュータの構造を検証せず、このため、攻撃者によりシステム特権で悪質なコードが実行される可能性があります。

仮想 DOS マシン (VDM) サブシステムとは何ですか?

仮想 DOS マシン (VDM) とは、Windows NT ベースのオペレーティング システムが MS-DOS および DOS ベースの Windows をエミュレートするための環境です。VDM は、ユーザーが MS-DOS アプリケーションを Windows NT ベースのオペレーティング システムで起動する度に作成されます。

この脆弱性により、攻撃者は何を行う可能性がありますか?

この脆弱性により、攻撃者は、プログラムのインストール、データの表示、変更、削除、完全な特権を持つ新しいアカウントの作成など、影響を受けるコンピュータを完全に制御する可能性があります。

どのような人物により、この脆弱性が悪用される可能性がありますか?

攻撃者がシステムにローカルでログオンし、プログラムを実行しない限り、この脆弱性が悪用されることはありません。

攻撃者はどのようにしてこの脆弱性を悪用する可能性がありますか?

まず、コンピュータにログオンすることが、攻撃者にとっての必要条件となります。次に攻撃者により、この脆弱性の悪用を意図した特別にデザインされたアプリケーションが実行され、それにより影響を受けるコンピュータが完全に制御される可能性があります。

主にどのようなコンピュータがこの脆弱性による危険にさらされますか?

ワークステーションおよびターミナル サーバーが主に危険にさらされるコンピュータです。サーバーでは、充分な管理者の資格情報を所有しないユーザーに対して、ログオンおよびプログラムを実行するアクセス許可が与えられている場合のみ、この危険にさらされます。

この脆弱性はインターネットで悪用される可能性はありますか?

いいえ、ありません。攻撃者が攻撃の標的となる特定のコンピュータにログオンできない限り、この脆弱性が悪用されることはありません。攻撃者により、この脆弱性が悪用され、リモートでプログラムが読み込まれ、実行されることはありません。

更新プログラムは何を修正しますか?

この更新プログラムは Windows が VDM に割り当てられたメモリの場所を参照する時に、データを検証する方法を変更します。

• 最も一般的なシナリオで、この脆弱性はサービス拒否の脆弱性です。
• Negotiate SSP インターフェイスは、既定で Internet Information Services (IIS) で有効となっています。ただし、既定でインストールされるのは、Windows 2000 (IIS 5.0) および Windows Server 2003 Web Server Edition (IIS 6.0) のみです。
• Windows NT 4.0 はこの脆弱性の影響を受けません。

マイクロソフトは次の回避策のテストを行いました。これらの回避策は根本的な脆弱性を修正しませんが、既知の攻撃の方法を阻止する手助けとなります。回避策は機能の低下の原因となる場合もありますが、その場合には下に記します。

• Internet Information Services への攻撃に対する回避策
  • 統合 Windows 認証を無効にする

    管理者は統合 Windows 認証を無効にすることにより、Internet Information Services を介して行われる攻撃の危険を減らすことができます。このオプションを有効/無効にする方法に関する情報は、こちらの Web サイト (英語情報) をご覧下さい。

    回避策の影響 : Windows NT チャレンジ/レスポンス認証 (NTLM) または Kerberos 認証を必要とする IIS ベースのアプリケーションは正しく機能しなくなります。

  • Negotiate SSP を無効にする

    管理者は、マイクロソフト サポート技術情報 215383 に記載されている説明に従うことにより、Negotiate SSP を無効にすることができます (NTLM 認証を有効にした状態で)。マイクロソフト サポート技術情報 215383 の概要は以下のとおりです。

    Negotiate を無効に (これにより、Kerberos 認証が行われないように) するためには、次のコマンドを使用して下さい。逆影響を避けるため、“NTLM” は大文字でなければなりません。

    cscript adsutil.vbs set w3svc/NTAuthenticationProviders "NTLM"

    回避策の影響 : Kerberos 認証を必要とする IIS ベースのアプリケーションは正しく機能しなくなります。

どのようなことが起こる可能性がありますか?

これは、バッファ オーバーランの脆弱性ですが、ほとんどの場合は、サービス拒否になる可能性があります。この脆弱性により、攻撃者は、プログラムのインストール、データの表示、変更、削除、完全な特権を持つ新しいアカウントの作成など、影響を受けるコンピュータを完全に制御する可能性があります。

何が原因で起こりますか?

Negotiate SSP インターフェイスの未チェックのバッファが原因です。

Negotiate Security Support Provided インターフェイスとは何ですか?

Windows は多くの異なる種類の認証をサポートしているため、クライアントがサーバーに接続する時に使用される認証方法はネゴシエートする必要があります。Negotiate SSP インターフェイスとは、この機能を提供するオペレーティング システム コンポーネントです。これは RFC 2478 で定義されている Simple and Protected GSS-API Negotiate Mechanism (SPNEGO) に基づいています。Windows の認証方法についての詳細情報は、こちらの Web サイト (英語情報) をご覧下さい。

なぜ Internet Information Services は影響を受けるのですか?

Negotiate SSP インターフェイスが、既定で Internet Information Services (IIS) で有効であるため、IIS は NTLM または Kerberos 認証プロトコルを使用し、リソースへのセキュアなアクセスを提供することができます。IIS によりサポートされている認証方法に関する詳細情報は、こちらの Web サイトをご覧下さい。

この脆弱性により、攻撃者は何を行う可能性がありますか?

多くの場合、攻撃の影響はサービス拒否である可能性がありますが、この脆弱性により、攻撃者は、プログラムのインストール、データの表示、変更、削除、完全な特権を持つ新しいアカウントの作成など、影響を受けるコンピュータを完全に制御する可能性があります。攻撃者により、影響を受けるコンピュータが無応答とされた場合、管理者は、影響を受けるコンピュータを再起動することにより、通常の機能を復元することができますが、この更新プログラムが適用されるまで、コンピュータは依然としてサービス拒否の影響を受ける状態です。

どのような人物により、この脆弱性が悪用される可能性がありますか?

影響を受けるコンピュータに特別に作成されたメッセージを送信できる匿名ユーザーにより、この脆弱性が悪用される可能性があります。この機能は既定ですべての影響を受けるコンピュータで有効であるため、影響を受けるコンピュータと接続を確立できる人物により、この脆弱性が悪用される可能性があります。

攻撃者はどのようにこの脆弱性を悪用する可能性がありますか?

攻撃者は、特別なネットワーク メッセージを作成し、そのメッセージを、影響を受けるコンピュータに送信することにより、この脆弱性を悪用する可能性があります。

また、攻撃者は別の攻撃の方法により、影響を受けるコンポーネントにアクセスする可能性もあります。別の攻撃の方法の例として、コンピュータへの対話的にログオン、影響を受けるコンポーネントにパラメータを渡す (ローカルまたはリモートで) プログラムの悪用などがあります。

主にどのようなコンピュータがこの脆弱性による危険にさらされますか?

影響を受けるコンピュータすべてが既定でこの問題の影響を受ける可能性があります。さらに、既定で Internet Information Services 5.0、Internet Information Services 5.1 および Internet Information Services 6.0もまた、リスニング ポートを介し、この問題の影響を受けます。

更新プログラムは何を修正しますか?

この更新プログラムは、割り当てられたバッファにメッセージが渡される前に、Negotiate SSP インターフェイスが、メッセージの長さを検証する方法を変更することにより、この脆弱性を排除します。

• SSL が有効に設定されているシステムのみ、この脆弱性の影響を受けます。SSL が有効に設定されているのは主にサーバー システムのみです。SSL サポートは既定ですべての影響を受けるコンピュータで有効ではありません。しかし、SSL は、一般的に電子商取引プログラム、オンライン バンキング、およびセキュアな接続を必要とするそのほかのプログラムをサポートするために Web サーバーで使用されます。SSL を有効にしているコンピュータのみがこの脆弱性の影響を受けます。
• ファイアウォールによる最善策および標準のファイアウォールの既定の構成により、ネットワーク境界の外部から行われる攻撃からネットワークを保護することができます。最善策として、インターネットに接続したコンピュータでは、最低限の数のポートを開くようにすることが推奨されます。
• Windows NT 4.0 はこの脆弱性の影響を受けません。

マイクロソフトは次の回避策のテストを行いました。これらの回避策は根本的な脆弱性を修正しませんが、既知の攻撃の方法を阻止する手助けとなります。回避策は機能の低下の原因となる場合もありますが、その場合には下に記します。

• ポート 443 および 636 をファイアウォールでブロックする

  ポート 443 は SSL トラフィックを受信するために使用されます。ポート 636 は LDAP SSL 接続 (LDAPS) のために使用されます。これらのポートをファイアウォールでブロックすることにより、ファイアウォールで保護されたコンピュータをこの脆弱性の悪用に対し、保護する手助けとなります。そのほかのポートがこの脆弱性の悪用を目的として標的にされる可能性もありますが、ここで挙げたポートは最も一般的な攻撃の方法です。マイクロソフトはインターネットからのすべての受信者側が送信を要求していない通信をブロックし、ほかのポートを使用して行われる攻撃を防ぐ手助けとすることを推奨します。

  回避策の影響 : ポート 443 または 636 がブロックされている場合、影響を受けるコンピュータは SSL または LDAPS を使用する外部の接続を受け付けられなくなります。

どのようなことが起こる可能性がありますか?

Microsoft Secure Sockets Layer (SSL) ライブラリにサービス拒否の脆弱性が存在し、Microsoft SSL ライブラリが特別に作成された SSL メッセージを処理する方法に影響を及ぼします。この脆弱性により、影響を受けるコンピュータの Windows 2000 および Windows XP で SSL 接続を受け付けなくなる可能性があります。Windows Server 2003 では、影響を受けるコンピュータが自動的に再起動される可能性があります。

注: サービス拒否の脆弱性では、攻撃者により、コードが実行される、または特権が昇格されることはありませんが、影響を受けるコンピュータがリクエストを受け付けなくなる可能性があります。

何が原因で起こりますか?

SSL ライブラリがメッセージ入力をチェックするのに使用するプロセスに原因があります。

Microsoft Secure Sockets Layer ライブラリとは何ですか?

Microsoft Secure Sockets Layer ライブラリには多くのセキュアな通信プロトコルのサポートが含まれています。これらには、Transport Layer Security 1.0 (TLS 1.0)、Secure Sockets Layer 3.0 (SSL 3.0)、古いために現在はほとんど使用されていない Secure Sockets Layer 2.0 (SSL 2.0) および Private Communication Technology 1.0 (PCT 1.0) プロトコルがあります。

これらのプロトコルは暗号化された接続をサーバーとクライアント コンピュータ間で提供します。SSL は、ユーザーがインターネットなどの公共のネットワークに接続している場合、情報を保護する手助けをすることができます。SSL をサポートするには SSL 証明書を必要とします。これは、サーバーにインストールされている必要があります。SSL に関する詳細情報は、マイクロソフト サポート技術情報 2451521 をご覧下さい。

この脆弱性により、攻撃者は何を行う可能性がありますか?

Windows 2000 および Windows XP では、この脆弱性により、攻撃者が影響を受けるコンピュータの SSL 接続を受け付けないようにする可能性があります。Windows Server 2003 では、攻撃者が影響を受けるコンピュータを自動的に再起動し、この間、影響を受けるコンピュータが認証リクエストに応答できなくなる可能性があります。再起動後、影響を受けるコンピュータは主だった機能を復元しますが、この更新プログラムを適用するまで、依然としてサービス拒否攻撃の影響を受けるままとなります。

攻撃者により、この脆弱性が悪用された場合、システム エラー イベントが記録されることがあります。イベント ID 5000 が、SymbolicName 値 "SPMEVENT_PACKAGE_FAULT" および以下の説明: "The security package NAME generated an exception"、Where NAME 値 "Schannel" または "Microsoft Unified Security Protocol Provider" とともにシステム イベント ログに記録される場合があります。

どのような人物により、この脆弱性が悪用される可能性がありますか?

特別に作成された SSL メッセージを、影響を受けるコンピュータに送ることができる匿名のユーザーにより、この脆弱性が悪用される可能性があります。

攻撃者はどのようにしてこの脆弱性を悪用する可能性がありますか?

攻撃者は、SSL 対応のサービスを介し、影響を受けるサーバーと通信することができるプログラムを作成し、特別に作成された TCP メッセージの特定の種類を送信することにより、この脆弱性を悪用する可能性があります。このようなメッセージを受け取ると、影響を受けるコンピュータは異常終了し、サービス拒否が起こる可能性があります。

また、攻撃者は別の攻撃の方法により、影響を受けるコンポーネントにアクセスする可能性もあります。別の攻撃の方法の例として、コンピュータへの対話的にログオン、影響を受けるコンポーネントにパラメータを渡す (ローカルまたはリモートで) プログラムの悪用などがあります。

主にどのようなコンピュータがこの脆弱性による危険にさらされますか?

SSL 対応のすべてのコンピュータがこの脆弱性の影響を受けます。SSL は一般的に HTTPS およびポート 443 を使用する Internet Information Services と関連しますが、影響を受けるプラットフォームの SSL を実装するサービスは影響を受ける可能性があります。これには、SSL を使用するサードパーティのプログラムのほかに、Internet Information Services 4.0、Internet Information Services 5.0、 Internet Information Services 5.1、Exchange Server 5.5、 Exchange Server 2000、Exchange Server 2003、Analysis Services 2000 (SQL Server 2000 に同梱) などがあります。

エンタープライズ ルート証明機関がインストールされている Active Directory ドメインにインストールされている Windows 2000 ドメイン コントローラがこの脆弱性による影響を受けます。この理由は、これらは自動的にセキュアな SSL 接続をリッスンするためです。

更新プログラムは何を修正しますか?

この更新プログラムは、特別に作成された SSL メッセージの処理を変更することにより、この脆弱性を排除します。

• メモリ構造の特有な配置により、影響を受けるコンピュータ上での大規模な悪用は困難である可能性があります。

なし

どのようなことが起こる可能性がありますか?

多くの場合、サービス拒否の脆弱性ですが、リモートでコードが実行される脆弱性である可能性もあります。この脆弱性により、攻撃者はコードを実行し、プログラムのインストール、データの表示、変更、削除、完全な特権を持つ新しいアカウントの作成など、影響を受けるコンピュータを完全に制御する可能性があります。

何が原因で起こりますか?

"double-free" される可能性があるため、これにより Microsoft ASN.1 ライブラリでヒープ破損が起こる可能性があります。

“double free” とは何ですか?

攻撃者は、影響を受けるコンピュータが特別に作成されたメッセージを処理している間、複数回使用されるように蓄えられていたメモリを開放 (free) する可能性があります。既に開放されているメモリをさらに開放 (二重の free) すると、メモリが破損する可能性があります。この破損が起こると、攻撃者はメモリに任意のコードを追加し、それを実行する可能性があります。このコードはシステム レベルの特権で実行される可能性があります。

多くの場合、この脆弱性により、サービス拒否が起こります。しかしながら、限定的な状況ではコードが実行される場合があります。メモリの特有な配置により、この脆弱性の大規模な悪用は困難である可能性があります。

ASN.1 とは何ですか?

Abstract Syntax Notation 1 (ASN.1) は、技術業界の多くのアプリケーションおよびデバイスにより使用されており、これにより、様々なプラットフォームでデータの交換が可能になります。ASN.1 は特定の標準、エンコード方法、プログラミング言語またはハードウェア プラットフォームとの直接的な関係はありません。ASN.1 に関する詳細情報は、マイクロソフト サポート技術情報 252648 をご覧下さい。

この脆弱性により、攻撃者は何を行う可能性がありますか?

この脆弱性により、攻撃者はコードを実行し、プログラムのインストール、データの表示、変更、削除、完全な特権を持つ新しいアカウントの作成など、影響を受けるコンピュータを完全に制御する可能性があります。

多くのシナリオでは、攻撃者によりサービス拒否の状態が引き起こされます。その場合、管理者は影響を受けるコンピュータを再起動し、通常の機能を復元することができます。

攻撃者はどのようにしてこの脆弱性を悪用する可能性がありますか?

ASN.1 は多くのアプリケーションおよびデバイスの標準であるため、多くの攻撃方法がある可能性があります。この脆弱性が悪用されるには、強制的にコンピュータに特別に作成された ASN.1 データをデコードさせられることが、攻撃者にとっての必要条件となります。たとえば、ASN.1 に基づく認証プロトコルを悪用し、攻撃者はこの脆弱性の悪用を意図した特別な認証リクエストを作成する可能性があります。

主にどのようなコンピュータがこの脆弱性による危険にさらされますか?

クライアント コンピュータよりも、サーバー コンピュータの方が危険にさらされます。この理由は、クライアント コンピュータよりも、サーバー コンピュータの方が ASN.1 データをデコードする実行されているサーバー プロセスを持つ場合が多いためです。

Windows 98、Windows 98 Second Edition、Windows Millennium Edition はこの脆弱性によって深刻な影響を受けますか?

いいえ。Windows Millennium Edition にはこの脆弱性を受けるコンポーネントが存在しますが、脆弱性の影響による深刻度は緊急ではありません。深刻度評価の詳細情報は、以下のサイトをご覧ください。http://www.microsoft.com/japan/technet/security/bulletin/rating.mspx

更新プログラムは何を修正しますか?

この更新プログラムは、ASN.1 ライブラリの特別に作成されたデータの処理を変更することにより、この脆弱性を排除します。

この脆弱性は MS04-007 で修正された脆弱性とどのような関連を持ちますか?

両方の脆弱性とも ASN.1 コンポーネントに存在しました。しかし、この更新プログラムは、MS04-007 の一部として解決されていなかった新しく報告された脆弱性を修正します。MS04-007 で提供された更新プログラムは、マイクロソフト セキュリティ情報 MS04-007 で説明された脆弱性に対し、充分な保護を行いますが、この更新プログラムは MS04-007 で提供されたすべての更新プログラムを含み、MS04-007 の更新プログラムにとって代わるものです。この更新プログラムをインストールする場合、MS04-007 の更新プログラムをインストールする必要はありません。