深刻なWindows SMB欠陥と増殖するワーム 2009年1月13日
深刻なWindows SMB欠陥と増殖するワーム
危険度 高
2009年1月13日
【概要】
対象:
最新版のWindows
攻撃方法:
細工したネットワーク・メッセージを送信
影響:
最悪の場合、攻撃者はユーザのWindowsを完全に操作できるようになる
対策:
状況に適したマイクロソフトのパッチを至急インストールすること
【詳細】
米国時間の1月13日、マイクロソフトはセキュリティ情報をリリースしWindowsの現バージョン全てに影響を及ぼす深刻な脆弱性3件について説明した。問題はいずれもサーバ・メッセージ・ブロック(SMB)プロトコルに起因する。このSMBプロトコルは、ネットワーク上でファイルやその他のリソースを共用する際にWindowsが使用するものである。
中でも悪質な欠陥は、SMBソフトウェアがそれに書き込む前にメモリ・バッファを十分に確認しない点に起因するバッファ・オーバーフロー問題に関与している。攻撃者は細工したネットワーク・メッセージを送信することでこの脆弱性を悪用し、ユーザのWindowsを完全に操作できるようになる。マイクロソフトのセキュリティ情報は、この欠陥と同様の行動範囲と影響力を持つ別のコード実行問題についても説明している。
3つめの問題は他に比べそれほどひどくはないものの、SMBの脆弱性は攻撃者がサービス拒否(DoS)攻撃をユーザのWindowsに対して仕掛けることができるようにし、そのWindowsを反応しない状態にしたり自動的に再起動するように仕向けることができる。
ライブセキュリティで10月にレポートしたWindowsサーバ・サービスの問題と同様に、このSMB欠陥はWindowsネットワーキング・サービスの標準設定に影響を及ぼし、攻撃を成功させる際にユーザからのインタラクションを必要としないため、深刻なリスクをもたらしている。攻撃者達はこうした種類のコア・ネットワーキング欠陥を大量自動攻撃で悪用することを好み、また、それはネットワーク・ワームを自動増殖させるためにも役立っている。そうは言っても、こうした脆弱性を利用する場合、攻撃者はTCPポート139とポート445にアクセスしなければならない。しかし大方の管理者は、そういったポートを標準設定にてファイアウォールでブロックするようにしている。このため、ファイアウォールでWindowsネットワーキングを特別に許可するようにしていなければ、この欠陥が外部の攻撃者から悪用される心配はない。しかし、ボット・クライアント(または他の種類のマルウェア)が内部のコンピュータに密かに入り込んだ場合、攻撃者はこの欠陥を簡単に悪用しネットワーク全体を感染させることができる。こうした理由から、この脆弱性に対応するパッチを至急インストールすることを強くすすめる。
【対策】
マイクロソフトはこうした脆弱性をすべて修正するWindowsパッチをリリースしている。状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体に適用することをすすめる。
日本語版をダウンロードするには「Change Language:」のドロップダウン・メニューから「Japanese」を選択し「Change」をクリックする。
ウォッチガード・ユーザ:
ウォッチガードのFireboxは、この脆弱性を利用するために必要なポート(TCPポート139と445)を標準設定でブロックしている。特にこうしたポートを許可するようポリシーを追加していなければ、外部の攻撃者が内部にあるコンピュータに対して脆弱性を悪用することはできない。しかし、内部攻撃の可能性を避けるためにも至急パッチを適用することを勧める。
【ステータス】
マイクロソフトは問題を修正するパッチをリリースしている。
【参考資料】
マイクロソフトのセキュリティ情報:MS09-001(日本語版)
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
危険度 高
2009年1月13日
【概要】
対象:
最新版のWindows
攻撃方法:
細工したネットワーク・メッセージを送信
影響:
最悪の場合、攻撃者はユーザのWindowsを完全に操作できるようになる
対策:
状況に適したマイクロソフトのパッチを至急インストールすること
【詳細】
米国時間の1月13日、マイクロソフトはセキュリティ情報をリリースしWindowsの現バージョン全てに影響を及ぼす深刻な脆弱性3件について説明した。問題はいずれもサーバ・メッセージ・ブロック(SMB)プロトコルに起因する。このSMBプロトコルは、ネットワーク上でファイルやその他のリソースを共用する際にWindowsが使用するものである。
中でも悪質な欠陥は、SMBソフトウェアがそれに書き込む前にメモリ・バッファを十分に確認しない点に起因するバッファ・オーバーフロー問題に関与している。攻撃者は細工したネットワーク・メッセージを送信することでこの脆弱性を悪用し、ユーザのWindowsを完全に操作できるようになる。マイクロソフトのセキュリティ情報は、この欠陥と同様の行動範囲と影響力を持つ別のコード実行問題についても説明している。
3つめの問題は他に比べそれほどひどくはないものの、SMBの脆弱性は攻撃者がサービス拒否(DoS)攻撃をユーザのWindowsに対して仕掛けることができるようにし、そのWindowsを反応しない状態にしたり自動的に再起動するように仕向けることができる。
ライブセキュリティで10月にレポートしたWindowsサーバ・サービスの問題と同様に、このSMB欠陥はWindowsネットワーキング・サービスの標準設定に影響を及ぼし、攻撃を成功させる際にユーザからのインタラクションを必要としないため、深刻なリスクをもたらしている。攻撃者達はこうした種類のコア・ネットワーキング欠陥を大量自動攻撃で悪用することを好み、また、それはネットワーク・ワームを自動増殖させるためにも役立っている。そうは言っても、こうした脆弱性を利用する場合、攻撃者はTCPポート139とポート445にアクセスしなければならない。しかし大方の管理者は、そういったポートを標準設定にてファイアウォールでブロックするようにしている。このため、ファイアウォールでWindowsネットワーキングを特別に許可するようにしていなければ、この欠陥が外部の攻撃者から悪用される心配はない。しかし、ボット・クライアント(または他の種類のマルウェア)が内部のコンピュータに密かに入り込んだ場合、攻撃者はこの欠陥を簡単に悪用しネットワーク全体を感染させることができる。こうした理由から、この脆弱性に対応するパッチを至急インストールすることを強くすすめる。
【対策】
マイクロソフトはこうした脆弱性をすべて修正するWindowsパッチをリリースしている。状況に適したパッチを至急ダウンロードし、テストしてからネットワーク全体に適用することをすすめる。
日本語版をダウンロードするには「Change Language:」のドロップダウン・メニューから「Japanese」を選択し「Change」をクリックする。
- Windows 2000
- Windows XP
- Windows XP x64
- Windows Server 2003
- Windows Server 2003 x64
- Windows Server 2003 Itanium
- Windows Vista
- Windows Vista x64
- Windows Server 2008
- Windows Server 2008 x64
- Windows Server 2008 Itanium
ウォッチガード・ユーザ:
ウォッチガードのFireboxは、この脆弱性を利用するために必要なポート(TCPポート139と445)を標準設定でブロックしている。特にこうしたポートを許可するようポリシーを追加していなければ、外部の攻撃者が内部にあるコンピュータに対して脆弱性を悪用することはできない。しかし、内部攻撃の可能性を避けるためにも至急パッチを適用することを勧める。
【ステータス】
マイクロソフトは問題を修正するパッチをリリースしている。
【参考資料】
マイクロソフトのセキュリティ情報:MS09-001(日本語版)
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。