CERT/CCは31日、7月17日に発見されたWindowsのRPCに関する脆弱性「MS03-026」に対して、広範囲に及ぶスキャンや攻撃に関する報告を受けていると発表した。株式会社ラックでは、日本語翻訳版を公開している。
CERT/CCによると、特定の悪意のあるユーザーがWindowsのRPCに関する脆弱性に対して、頻繁にスキャンや攻撃を仕掛けているという。この脆弱性に関しては、既に複数の攻撃コードが公開されており、さらにこの攻撃コードを改良・自動化しようという動きもあるという。攻撃コードは、TCP135番ポートを標的として、特別な権限を持つバックドアを作成する。ほかにもバックドアにTCP4444番ポートを使用するバージョンが存在するという。
またCERT/CCは、「MS03-026」と同じWindowsのRPCインターフェイスにDoS攻撃を受ける可能性のあるほかの脆弱性「VU#326746」があると指摘している。VU#326746はMS03-026とは独立した異なる脆弱性と考えられており、マイクロソフトが提供する「MS03-026」用のセキュリティ修正パッチでは修正することができないという。さらに、VU#326746の脆弱性に対する攻撃コードも既に公開されているという。この攻撃コードは攻撃時にTCP135番ポートを利用しているが、TCP139番および445番ポートも攻撃時に利用される可能性があるため、対策するべきだという。
CERT/CCでは攻撃やスキャンへの対策として、「MS03-026」を適用することを推奨している。また、Windows 2000を稼動しており、かつネットワークを介したDCOM RPCサービスを利用している場合は、「MS03-026」を適用していてもVU#326746の脆弱性が存在するため、ファイアウォールやルータ等で以下のパケットフィルタリングを行なうよう強く推奨している。
・TCP135番ポート
・TCP139番ポート
・UDP139番ポート
・TCP445番ポート
・UDP445番ポート
関連情報
■URL
ニュースリリース
http://www.cert.org/advisories/CA-2003-19.html
ラックの翻訳文
http://www.lac.co.jp/security/intelligence/CERT/CA-2003_19.html
関連記事:米ISS、WindowsのRPCに関する脆弱性の有無をチェックできるツール
http://internet.watch.impress.co.jp/www/article/2003/0730/vuln.htm
関連記事:アンラボ、Windowsの脆弱性を攻撃可能なアタックコードが公開されたと警告
http://internet.watch.impress.co.jp/www/article/2003/0728/ahnlab.htm
関連記事:WindowsのRPCに任意のコードを実行されてしまう深刻な脆弱性
http://internet.watch.impress.co.jp/www/article/2003/0717/windows.htm
( 大津 心 )
2003/08/01 18:54
- ページの先頭へ-
|