エンタープライズ:ニュース | 2003/07/31 23:37:00 更新 |
(続)Windows RPCのセキュリティホールへの対処策、最終手段はDCOMの無効化
Windows RPCプロセスに存在するセキュリティホールが警告されてからほぼ2週間が経ち、Exploitも公開された。こうした状況下では、一刻も早いパッチの適用と対策が必要だ。
Windows RPCプロセスに存在するセキュリティホール(MS03-026)が警告されてから、ほぼ2週間が経つ。7月25日には、中国のセキュリティグループ、X Focusが、この脆弱性を悪用するコード(Exploit)を公開した。その後も、複数の人物が手を加えたコードがWeb上で、あるいはメーリングリストで確認されている。
こうした状況下では、一刻も早いパッチの適用と対策が必要だ。先日、対処策について説明した記事を公開したが、不十分な部分があったため、稿を改めて記述を追加したい。
まずは、先日の記事で紹介したとおり、Windows Update、あるいは「HFNetChk」や「MBSA(Microsoft Baseline Security Analyzer)」といったツールを用いて、パッチがきちんと適用されているかどうかを確認する。
念には念を入れたい場合は、サードパーティが提供している脆弱性検出ツールを活用するのも手だ。上記の記事で紹介したeEye digital securityの専用スキャナ「Retina RPC DCOM Vulnerability Scanner」はその1つである。
また7月31日には、インターネット セキュリティ システムズ(ISS)が、RPC DCOMの脆弱性が残っているかどうかを検査する「MS03-026 RPC Vulnerability Scanner(Scanms)」を公開した。このツールはコマンドラインから利用するもので、指定された範囲のIPアドレスを検査し、RPC DCOMのセキュリティホールが残っているホストを検出する。
ISSは合わせて、8月15日までの期間、無償で利用できる不正侵入防御製品「RealSecure Desktop Protector」のダウンロード提供も開始している。
いずれにしてもこの問題に備えるには、パッチの適用が不可欠だ。もしもそれが困難な場合には、マイクロソフトがセキュリティ情報の中で呼びかけているとおり、まずTCP/UDP 135/139/445の各ポートをファイアウォールでブロックする。
より安全を期したい場合は、根本的な対策として、該当PC上のDCOMを無効に設定する。無効化は、Windowsに標準で含まれている「dcomcnfg.exe」から行うことが可能だ。設定方法はマイクロソフトのWebページに記載されている。ただしDCOMを無効化すると、アプリケーションの動作に影響が生じる可能性もある。
関連記事備えあれば憂いなし――Windows RPCのセキュリティホールへの対処策
関連リンク
マイクロソフト セキュリティ情報 (MS03-026) : よく寄せられる質問
インターネット セキュリティ システムズ
[ITmedia]