ITmedia NEWS >

Windowsの脆弱性を突くコード、またも登場

» 2004年04月27日 10時14分 公開
[IDG Japan]
IDG

 Security Socket Layer(SSL)ライブラリのセキュリティホールを突くコードが出回っているとMicrosoftが警告を発してからわずか数日後に、最近公表された別の脆弱性を突くと称する新しいコードがフランス語のWebサイトに登場した。

 このコンピュータコードを利用すると、リモートから攻撃を仕掛けてLocal Security Authority Subsystem Service(LSASS)にバッファオーバーランを引き起こすことができるとwww.k-otik.comに掲載されたメッセージには記されている。Microsoftは4月13日に、LSASSの脆弱性のパッチと、SSLの問題やほかのいくつかの脆弱性のフィックスを含む月例パッチ(MS04-011)をリリースしている(4月14日の記事参照)。

 エクスプロイト(脆弱性を突くコード)をホスティングするK-Otikサイトによると、問題のコードは25日に公開された。26日の時点では、このコードが機能するのかどうかは不明だが、このコードの作者が添付した説明書きには、これを使ってWindowsマシンをリモートから攻撃するには、ある程度の修正が必要かもしれないと記されている。

 LSASSは、ローカルおよびクライアント-サーバ環境でユーザー認証に使用され、Active Directoryユーティリティにも使われている。攻撃者がLSASSの脆弱性を悪用した場合、リモートから攻撃を仕掛けられ、Windows 2000/XPを乗っ取られる恐れがあるとMicrosoftは説明している。

 電子メールワーム・ウイルスとは違って、LSASSのバッファオーバーフローを引き起こすにはユーザーに何らかの行動を起こさせる必要はないと、SAS InstituteのInternet Storm Center(ISC)でCTO(最高技術責任者)ヨハネス・ウルリッヒ氏。

 同氏によれば、ISCには、LSASSのエクスプロイトコードによってインターネット上のWindowsシステムが侵害されたケースは報告されていないという。

 Internet Security Systems(ISS)もこの新しいコードのことは認識しているが、修正を加えなければコンピュータネットワークには作用しないため、すぐに脅威になることはないと述べている。

 「このコードは信頼性がなく、ユーザー環境で使えるものではない」とISSの調査技術者ニール・メータ氏。

 しかしMicrosoftのSSL脆弱性を狙ったエクスプロイトコードにはそれは当てはまらない。このコードは先週リリースされたもので、メータ氏によると、ISSは21日以来、これが利用されたケースを多数観測しているという。

 こうした活動の後に、エクスプロイトを利用したワームが登場することは多いと同氏は指摘する。

 ISCは、Windowsシステムがこのコードを使った攻撃を受けたという報告を企業から「2〜3件」受けている。このコードは、攻撃したマシンのコンピュータログに独自の署名を残す。この攻撃は独立したもので、ワームやウイルスの発生にはつながっていないようだ。しかし、クラッカーがSSLのエクスプロイトコードと自動スキャンツールを組み合わせたという証拠があるとISCのウルリッヒ氏は話す。

 「この脆弱性の影響を受ける企業内のサーバすべてが攻撃を受けたケースもあるようだ。誰かが(IPアドレスの)ネットブロックを選んで、これらのアドレスをスキャンし、影響を受けるすべてのシステムを攻撃したようだ」(同氏)

 Microsoftは22日に、エクスプロイトコードがリリースされたという「信ぴょう性のある深刻な」報告があるとし、顧客にMS04-011を「すぐにインストールするよう」訴えた。

 Microsoftによると、Microsoft Internet Information ServicesやMicrosoft Exchange Server、サードパーティの製品も含め、SSLを利用するアプリケーションを走らせているWindows XP/2000、Windows Server 2003マシンはすべて攻撃を受ける恐れがあるという。

 ISSは23日にアドバイザリを発行し、顧客にSSLのエクスプロイトについて警告、さらにSSLが機密を要する、あるいは貴重な財務情報に関わる通信の保護に使われていること、SSLを使う企業はポート443を開かなければならず、エクスプロイトはこのポートを狙っていることから、この脆弱性はいっそう深刻なものになっていると注意を促している。

 通信保護のためにSSLを使っているシステムは、「プロダクションクリティカル」なマシンであることが多い。企業はパッチの適用により重要なサービスに障害が出ることを恐れて、システムにパッチをあてるのに従来よりも時間をかけているとウルリッヒ氏。

 またMicrosoft、ISSなどの企業は、すぐにパッチをあてられない企業のために、SSLの脆弱性を回避する方法を公表しているとメータ氏は話している。

Copyright(C) IDG Japan, Inc. All Rights Reserved.