| エンタープライズ:ニュース | 2003/08/01 20:04:00 更新 |
もう1つのセキュリティホールが存在――CERT/CCなどがWindows RPCに関して警告
WindowsのRPC DCOMインタフェースに存在するセキュリティホールが波紋を呼んでいるが、このRPC DCOMインタフェースに、もう1つ別のセキュリティホールが存在することが判明した。
WindowsのRPC DCOM(分散COM)インタフェースに存在したセキュリティホール(MS03-026)の件では、マイクロソフト自身のアドバイザリはもちろん、IPAセキュリティセンター(IPA/ISEC)や米国土安全保障省(別記事参照)、それに複数のセキュリティ関連ベンダーが警告を発している。だがここにきて、RPCインタフェースにもう1つ、別の脆弱性が存在することが浮上してきた。
米CERT/CCは7月31日、Windows RPC DCOMインタフェースのセキュリティホールに関する新たなアドバイザリを公開し、ユーザーにいっそうの注意を呼びかけた(MS03-026の問題が発覚した直後に公開されたアドバイザリ[CA-2003-16]とは別のものだ)。
このアドバイザリはまず、MS03-026のセキュリティホールを狙った実証コード(Exploit)が複数存在し、さらに強化されつつあるだけでなく、自動化されたExploitも存在すると指摘。発見されたExploitの中には、TCP/135ポートをターゲットとし、バックドアを仕掛けるものが存在するという。また同時に、バックドアを悪用するためのスキャニング行為も観察されているという。
CERT/CCはさらに、WindowsのRPCインタフェースには、MS03-026で指摘された問題以外にもう1つ、DoS(サービス妨害)攻撃を受けるおそれのあるセキュリティホールが存在すると警告した。しかも、まだパッチの存在しないこのセキュリティホールに対するExploitは、X Focusによって公開済みだ。X Focusは、MS03-026を悪用するExploitも公表した、中国のセキュリティ技術グループである。
CERT/CCのまとめによると、この新たなセキュリティホールはWindows 2000に影響を及ぼし、DoS攻撃を引き起こす可能性があるという。任意のコードの実行までは確認されていないというが、CERT/CCでは引き続き、問題の確認を進めるという。
これと並行して、セキュリティ関連のメーリングリストでも、「もう1つのセキュリティホール」の存在を確認する発言が投稿されている。例えばNTBugTraqでは、メーリングリストのモデレータを務めるラス・クーパー氏自身が、Service Pack 3/4とMS03-026を適用したWindows 2000で、RPC DCOMインタフェースを狙ったDoS攻撃が成立することが確認されたと投稿している。ただしこのメールによれば、パッチを適用したWindows XP Home Editionでは問題は再現されなかったという。
当面の対処策としてCERT/CCは、MS03-026を含むパッチを適用した上で、TCP/UDP 135、139、445の各ポートのフィルタリングを徹底し、リモートからRPC DCOMサービスを利用できないようにするよう推奨している。
関連記事
米国土安保省、Windows RPCの脆弱性に警告強化(続)Windows RPCのセキュリティホールへの対処策、最終手段はDCOMの無効化備えあれば憂いなし――Windows RPCのセキュリティホールへの対処策Slammerの二の舞? Windows RPCの脆弱性悪用コード公開で高まる不安 WindowsのRPCプロセスに「緊急」の脆弱性関連リンク
CERT Advisory CA-2003-19 Exploitation of Vulnerabilities in Microsoft RPC InterfaceVulnerability Note VU#326746: Microsoft Windows RPC service vulnerable to denial of service[高橋睦美,ITmedia]
