YANO's digital garage

11日に公表されたWindowsのセキュリティホールMS03-039に対するexploit(実証プログラム)が16日あたりからインターネットで流れ始めたようだ。LACでもWindows 2000 Server 日本語版 SP4での検証に成功し、予想通り公表から一週間もせずに早くも一刻の猶予もならない状態に陥っている。

9/15 やまなみハイウェイにて

このexploitを参考にすればMS03-039の問題を悪用してパソコンを乗っ取るようなワームを簡単に作る事ができるので、数日中にBlasterのようなワームが再び出現する可能性が高い。ちなみに前回のMS03-026では公表が7月17日、exploitの登場が9日後の26日、Blasterがさらに17日後の8月11日に登場している。

今回わずか5日でexploitが登場したというのは前回のノウハウが流用できている事に他ならないワケで、ワーム本体の開発にも同じことが言えるとするならば1週間以内に…、いや今回のexploitとそっくり入れ換える事ができればすでに出まわり始めたとしても不思議は無い。

そういうわけで直ちに修正プログラムを適用するか、Windows Updateしましょう。また不幸にしてネットワーク環境に恵まれず「Windows Updateなんて時間のかかる事はやってらんねぇヨ!!」というユーザーにも朗報。マイクロソフトが9月20日より「Windows XP セキュリティ対策 CD-ROM」を全国大手量販店の店頭にて無償配布する予定なので大至急入手すべし。

特にWindows XPユーザーはマイクロソフトの「パソコンを守る」を参照して「インターネット接続ファイアウォール」を有効にしておく事を猛烈にオススメする。ちなみに「Microsoftセキュリティ」の先頭にも

Internet Explorer (MS03-032) と Windows (MS03-039) の弱点を悪用する方法が公開されたため、悪質なワームの発生の可能性が高くなっています。あなたのパソコンを守るための ３つの手順 で安全な環境に更新してください。

なお企業ユーザーはマイクロソフトがリリースしている「KB 824146 Scanning Tool」を利用する事により、LANで接続している全てのパソコンに対してMS03-039とMS03-026のパッチ適用状況をリモートから簡単にチェックできるので、積極的に利用してパッチの適用に抜かり無き様にお願いしたい。情けは人の為ならず。

ついでに8月21日にリリースされた「MS03-032: Internet Explorer 用の累積的な修正プログラム (822925) 」についても「オブジェクト タグの脆弱性(CAN-2003-0532)」を適切に修正しないという問題がある事も明らかになっている。修正プログラムは近々更新版が再リリースされる見込みだが、それまでは以下のように設定を変更して「信頼できない ActiveX コントロール」の動作を禁止しておく必要がある。

元々「Internet Explorerの推奨設定」に倣った設定にしている人はここで変更を行う必要は無い。こういうケースも想定している磐石な設定なのだ。

Internet Explorer の [ツール] - [インターネット オプション]

1. [セキュリティ]タブをクリック
2. "インターネットゾーン"をクリックした後、"このゾーンのセキュリティレベル"のスライダを一番上に移動して、状態を高に設定
3. "信頼済みサイト"をクリックした後、"このゾーンのセキュリティレベル"のスライダを上から2番目に移動して、状態を中に設定
4. この状態でひとまず安全性は確保。

しかし、この状態では表示がおかしくなって思ったようにアクセスできないWebサイトが出て来ると思うので、そういうサイトは"信頼済みサイト"にURLを登録すべし。その時は事前にURLをコピーしておくと吉。「現在のセキュリティ設定では、このページの ActiveX コントロールは実行できません。」というメッセージが出てもアクセスに差し支えが無ければわざわざ登録する必要はない。

Internet Explorer の [ツール] - [インターネット オプション]

1. [セキュリティ]タブをクリック
2. "信頼済みサイト"をクリックした後、"サイト"のボタンを押してサイトのURLを登録する。
   この時「このゾーンのサイトにはすべてサーバーの確認(https:)を必要とする」のチェックは外しておく事。

まぁ、転ばぬ先の「Internet Explorerの推奨設定」という事ですにゃ。(^^)v

【参照】
●日経IT Pro
　-再び“Blaster級”ワーム出現の恐れ――Windowsの新しいホールを突くコードが出回る 2003年9月17日
　-今後も見つかる可能性が高い“超特大”セキュリティ・ホール，回避策の実施が不可欠 2003年9月16日
　-Windowsにまたもや“超特大”のセキュリティ・ホール，すぐにWindows Updateの実施を 2003年9月11日
●Internet Watch
　-総務省など3省庁が、「MS03-039」を攻撃するプログラムを警告 2003年9月18日
　-警察庁、脆弱性「MS03−039」を攻撃するプログラムを警告〜修正プログラムを早急に適用するよう呼びかけ 2003年9月17日
　-Microsoft、先日発見された脆弱性「MS03-039」をチェックできるツール〜同時にDCOMやRPC脆弱性を緩和するためのツールも公開 2003年9月12日
　-「MS03-039」脆弱性を悪用するウイルスが作成されるのは時間の問題〜米国土安全省らが警戒を呼びかけ 2003年9月12日
●ITmedia
　-“No more MSBlast”――悪用コードの公開を受け政府、業界がパッチ適用を呼びかけ 2003年9月18日
　-MSBlastが騒がれても4人に1人は「何もしなかった」――BCN総研が調査 2003年9月17日
　-Protect Your PCキャンペーンが示したパッチ配布体制の前進と限界 2003年9月17日
　-Opinion：ファイアウォールを持たないあなたへの「最後の警告」 2003年9月16日
　-MSBlast“Reloaded”を避けるために今できること 2003年9月11日
　-数日で登場か、Windowsの新たな脆弱性に対応したウイルス 2003年9月11日
　-8月の悪夢がまた？　Windowsに深刻な脆弱性 2003年9月11日
●警察庁@police
　-Windowsの脆弱性(MS03-039)を攻撃するプログラムについて(9/18)
●LAC Security Network Service
　-Successful Reproduction of MS03-039 "Buffer Overrun In RPCSS Service Could Allow Code Execution" on Japanese Environment 2003年9月17日
●xfocus
　MS03-039-exp.c 2003/09/16 (exploit original ??)

●マイクロソフトTechNetセキュリティセンター
　-「MS03-039: RPCSS サービスのバッファ オーバーランによりコードが実行される (824146)」に関する要約情報 【深刻】
　-「MS03-032: Internet Explorer 用の累積的な修正プログラム (822925) 」に関する要約情報 【緊急】
　＞マイクロソフト セキュリティ情報 (MS03-032) ： よく寄せられる質問

　★Blaster に関する情報 ←修正プログラムのダウンロードも可能
　★Protect Your PC「Windows XP セキュリティ対策 CD」サポート情報
　download＞KB 824146 Scanning Tool for MS03-026 and MS03-039 Patches