Windows RPCの脆弱性対応について(サーバー管理者向け)2003年8月15日10時39分版 1.リスク判定 まずは135番ポートが汚染されている可能性があるネットワークへ向けて開いているか(サーバー自身が開けていて、かつファイアウォールで開けている場所に居るかどうか)を確認する必要があります。 汚染される可能性があるマシンが繋がっているネットワーク(LAN,インターネット等)と接している場合には、当然ながら感染する可能性があります。 直接接していない場合でも、サーバー自身が開けていて、かつファイアウォールによって135番ポートが開いている場合には感染する可能性があります。 これに該当する場合は、急ぎパッチを当てる必要があるでしょう。 2.感染確認 ポートが開いている場合はすでにワームに感染しているかどうか確認する必要があります。 ワームに感染するとランダムなIPアドレスへ向けて135番ポートへの通信を大量に出しますので、ネットワーク的に近接のファイアウォールかルーターで確認できると思います。 確認出来ない場合は駆除用ソフトウエアを使います。これで駆除できれば感染していた、ということになります。 http://www.nai.com/japan/security/stinger.asp http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700 もしいきなりツールを用いるのが不安、というのであれば、目視も可能です。 ・%WinDir%\system32にmsblast.exeが存在するか? ・以下のどちらかのレジストリキーが存在するか? HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run "windows auto update" = msblast.exe ・異常なTFTPファイルが存在するか? ・(システムを再起動したために)RPCサービスに失敗したことに関するエラーメッセージがでる。 ・ワームはランダムに20の連続するTCPポートを、監視するために開けます。これはコンスタントにポートの範囲を変えます。(例:2500-2520, 2501-2521, 2502-2522) このアクションの目的は不明ですが、これが開いているかどうか? 感染が確認されたら駆除ツールを用いて駆除し、パッチを適用後再起動します。 3.予防措置 感染が確認されなかった場合は予防策が必要です。最大の予防策はもちろんパッチ当てですが、動いているソフトウエアの動作確認等がすぐには実施できず、パッチを当てられない場合は、以下のような対策があります。番号順に適用しやすいものだと思いますので、そのプライオリティで適用してください。 (1)IPsecでポートをフィルターする http://support.microsoft.com/default.aspx?scid=kb;ja;313190 に記載されている方法でTCP/135番ポート、TCP/4444番ポート、UDP/69番ポートを閉じます。 (2)DCOMをオフにする ・分散COM (DCOM) は、コンピュータ間でネットワークを通じて COM オブジェクトを利用できる機能です。本機能は、規定の状態で有効です。 DCOM を無効にするには、以下の設定を行います。 1. [スタート] - [ファイル名を指定して実行] から Dcomcnfg.exe と入力し、[OK] ボタンをクリックします。 2. Windows XP または Windows Server 2003 を実行している場合には、以下の手順が追加で必要です。 1. コンソール ルート下の [コンポーネント サービス] ノードをクリックします。 2. [コンピュータ] サブフォルダを開きます。 3. ローカル コンピュータでは、[マイコンピュータ] 上で右クリックし、[プロパティ] を選択します。 4. リモート コンピュータでは、[コンピュータ] フォルダ上で右クリックし、[新規作成] ‐ [コンピュータ] を選択します。コンピュータ名を入力します。そのコンピュータ名の上で右クリックし、[プロパティ] を選択します。 3. [既定のプロパティ] タブをクリックします。 4. [このコンピュータ上で分散 COM を有効にする] チェック ボックスをオン (またはオフ) にします。 5. そのコンピュータのプロパティをさらに設定する場合、[適用] ボタンをクリックし、DCOM を有効 (または無効) にします。そのほかの場合、[OK] ボタンをクリックし、変更を適用し、Dcomcnfg.exe を終了します。 6. コンピュータを再起動します。設定は、再起動後に有効になります。 本回避策による影響 * ネットワークを通じた COM オブジェクトの利用が行えなくなります。 それにり、管理コンソール、リモート管理、アプリケーションサーバーの動作に影響が出る可能性があります。 (なお、Windows2000のSP2以前では「DCOMを無効」にしてもだめという報告が上がっています。 http://www.ntbugtraq.com/default.asp?pid=36&sid=1&A2=ind0308&L=ntbugtraq&D=1&F=P&P=3979 SP2でもMS01-041パッチがあたっていれば無効にできるとのこと。 http://www.ntbugtraq.com/default.asp?pid=36&sid=1&A2=ind0308&L=ntbugtraq&D=1&F=P&P=4083) (また、Windows NT 4.0 および Windows 2000 の COM (コンポーネント オブジェクト モデル) インターネット サービス (CIS) および Windows Server 2003 の RPC over HTTP (HTTP プロキシを経由した RPC) のサポートを使用している場合は、 http://support.microsoft.com/default.aspx?scid=kb;ja;825819 に削除方法が掲載されています。削除すればHTTPプロキシを経由したDCOMは使えなくなりますが、それだけではDCOMはオフにならず、同一ネットワーク等からワームに感染するリスクは残ります。 もちろんDCOM自体を上記方法でオフにすれば、そもそもCOMインターネットサービスおよびRPC over HTTPは使用できなくなります) なお、ワクチンプログラムを無効化する亜種も存在する(http://www.certcc-kr.jp/announce/Blaster-4.html)とのことですので、早急にパッチを当てることが望ましいです。 参考情報および引用元: http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/virus/blaster.asp http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A&VSect=T http://www.nai.com/japan/security/virL.asp?v=W32/Lovsan.worm http://support.microsoft.com/default.aspx?scid=kb;ja;826977