Windows DNS脆弱性のエクスプロイトコードが公開--攻撃拡大を専門家は警告

　セキュリティ専門家の警告によると、Windowsに存在する未パッチのセキュリティホールを突いたエクスプロイトコードが公開され、攻撃が拡大する恐れが高まっているという。

　Symantecは米国時間4月16日のアラートでWindows Domain Name System（DNS）サービスに関する脆弱性の悪用コードが少なくとも4件、先週末にかけてインターネットに公開されたと報じた。カリフォルニア州クパチーノに本拠を置くSymantecは、この脆弱性の危険度を、攻撃の増加が予想されることを意味するレベル2に引き上げた。

　このセキュリティ脆弱性は「Windows 2000 Server」と「Windows Server 2003」に影響する。Microsoftは先週、この脆弱性を悪用した「限定的な攻撃」の情報を得ていると警告していた。しかし、その時点でエクスプロイトコードは一般には出回っていなかった。エクスプロイトコードが出回ったことで、悪意あるコードを作成して脆弱性を突きWindowsシステムに侵入するのが容易になったと見られる。

　Microsoftのセキュリティレスポンスセンター職員Christopher Budd氏は15日、同社のブログに、問題解決に向けた作業を続けており攻撃は現在のところ限定的であると書き込んでいる。

　同氏は「攻撃は現在のところ限定的である。しかし、この脆弱性を悪用する概念実証コードが公開されているという情報も得ている」と書いている。Microsoftは、脆弱性の影響を受けるシステムのユーザーに、セキュリティアドバイザリに示した回避策の適用を強く呼びかけている。

　McAfeeは16日午後、DNS脆弱性を悪用していると思われるNirbotの亜種を発見したことを明らかにした。Nirbotは、感染したコンピュータをInternet Relay Chat（IRC）を通して完全に制御可能にする典型的なボットワームである。

　「攻撃者は、感染したコンピュータの制御権を得ることができ、スパムの送信、アドウェアのインストール、インターネットシステム上での分散サービス拒否（DDos）攻撃の開始に悪用することができる」とMcAfeeでは説明している。Nirbotファミリーには複数のバージョンがあり、Rinbotとしても知られている。

　Windows DNSサービスへの攻撃は、細工を施したデータを送信することで行われる。Windows DNSサービスは、文字で書かれたインターネットアドレスと数字で書かれたIPアドレスを対応させるためのものである。今回の脆弱性はDNSのRPCインターフェースに影響する。Remote Procedure Call（RPC）とは、アプリケーションがネットワーク越しにリクエストを送信するために利用するプロトコルである。

　Microsoftによると、この脆弱性は一般的なDNS用ポートであるTCP/UDP 53からは悪用できない。Symantecによると、RPCインターフェースは普通、1024から5000の間のネットワークポートでデータ受信を行う。ネットワーク上の脅威を監視しているSANS Internet Storm Center（SANS ISC）によると、上記の条件が危険性を弱めているのだという。

　SANS ISC職員が16日、同団体のブログに「基本的な対外セキュリティ設計に忠実なネットワークであれば、通常のDNSサーバ用に53 UDP/TCPのみを許可しており、脆弱性の悪用に必要なRPC用ポートは間違いなく塞いであるだろう」と書いている。

　SANS ISCによると、それでも、この問題は重要であるという。ブログへの投稿によると、ウェブホスティング会社は多数のネットワークサービスを1台のサーバで実行している可能性があり「Active Directory」サーバでDNSも実行していることも多いが、その場合攻撃にさらされる可能性がある。

　DNSの欠陥はWindows XPとWindows Vistaには影響を与えない。Microsoftによると「Windows 2000 Server Service Pack 4」「Windows Server 2003 Service Pack 1」「Windows Server 2003 Service Pack 2」が影響を受ける。