各位
TCP 135番ポートへのスキャンの増加に関する注意喚起
Increase in TCP Port 135 scanning activity
http://www.jpcert.or.jp/at/2003/at030005.txt
I. 概要
JPCERT/CC では、TCP 135番ポートへの大量のスキャンが広範囲に渡って行なわれていることを確認しています。これらのスキャンは、MicrosoftWindows の RPC (Remote Procedure Call) の実装に含まれる既知の脆弱性を使用した侵入の試みである可能性があります。また、この脆弱性を使って伝播するワーム「W32/Blaster」の存在が報告されており、TCP 135番ポートへのスキャンはこのワームによる感染の試みである可能性もあります。
JPCERT/CC Vendor Status Note JVNCA-2003-20
W32/Blaster ワーム
http://jvn.doi.ics.keio.ac.jp/vn/JVNCA-2003-20.html
CERT Advisory CA-2003-20
W32/Blaster worm
http://www.cert.org/advisories/CA-2003-20.html
CIAC Bulletin N-133
Blaster Worm (aka: W32.Blaster, MSBlast, Lovsan, Win32.Poza)
http://www.ciac.org/ciac/bulletins/n-133.shtml
マイクロソフト セキュリティ情報
Blaster に関する情報
http://www.microsoft.com/japan/technet/security/virus/blaster.asp
II. 対象
2003年 7月に Microsoft が公開した Microsoft Windows の修正プログラムが適用されていないシステムは、侵入やワームによる感染などの被害を受ける可能性があります。対象となるのは以下のバージョンの Microsoft Windows
です。
- Microsoft Windows NT Server 4.0
- Microsoft Windows NT Server 4.0, Terminal Server Edition
- Microsoft Windows 2000
- Microsoft Windows XP
- Microsoft Windows Server 2003
詳細は以下の URL で示したページをご参照ください。
マイクロソフト セキュリティ情報
RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980) (MS03-026)
http://www.microsoft.com/japan/technet/security/bulletin/MS03-026.asp
JPCERT/CC Vendor Status Note JVNCA-2003-16
Microsoft Windows RPC にバッファオーバーフローの脆弱性
http://jvn.doi.ics.keio.ac.jp/vn/JVNCA-2003-16.html
JPCERT/CC Vendor Status Note JVNCA-2003-19
Microsoft Windows RPC の脆弱性を対象とする侵害活動
http://jvn.doi.ics.keio.ac.jp/vn/JVNCA-2003-19.html
III. ワーム感染の確認および対処方法
「W32/Blaster」ワームに感染しているホストは、タスクマネージャのプロセス一覧の中に msblast.exe があります。この場合は、ホストをネットワークから切り離し、タスクマネージャで msblast.exe のプロセスを終了します。その後、以下の文書にしたがって、msblast.exe を削除するなどの対処をします。
マイクロソフト セキュリティ情報
Blaster に関する情報
http://www.microsoft.com/japan/technet/security/virus/blaster.asp
CERT/CC: W32/Blaster Recovery Tips
W32/Blaster Recovery Tips
http://www.cert.org/tech_tips/w32_blaster.html
ただし、msblast.exe のファイル名が異なるなどの亜種が存在する可能性もあるため、上記の方法では不充分な場合があることに注意してください。その場合は、不審なプロセスが動いていないか、また不審な通信が行なわれていないか注意深く確認してください。
もし不審なプロセスが存在していたり、不審な通信が行なわれている場合には、まずそのホストをネットワークから切り離すことをご検討ください。これによりワームの増殖などの被害の拡大を防ぐことができます。
システムを復旧するためには、まず必要なファイルのバックアップを取り、ハードディスクをフォーマットした上で、OS を再インストールしてください。その後、Microsoft が提供している修正プログラムを適用してください (詳細は「IV. 予防方法および再発防止策」を参照)。
なお、システムの改竄が行われたと考えられるホストからのデータの移行や、そのホストの OS の再インストールの際にバックアップテープ等を利用される場合は、バックアップされた情報自体に、ワームなどによって置き換えられたファイルやインストールされたプログラム等が記録されてしまっていないか、十分にご注意頂くことをお勧めします。
IV. 予防方法および再発防止策
Microsoft Windows への侵入やワームの感染を防ぐために、Microsoft が提供している修正プログラムを適用してください。詳細については以下の URL
で示したページをご参照ください。
マイクロソフト セキュリティ情報
RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980) (MS03-026)
http://www.microsoft.com/japan/technet/security/bulletin/MS03-026.asp
更に Windows RPC の脆弱性を使った侵入や「W32/Blaster」ワームによる感染および増殖の被害を抑えるために、ルータなどのパケットフィルタリング機能を使って、外部から内部、更に内部から外部への以下のポート宛の不要なパケットを制限することをお勧めします。
- 69/UDP
- 135/TCP
- 135/UDP
- 139/TCP
- 139/UDP
- 445/TCP
- 445/UDP
- 4444/TCP
特に、修正プログラムを適用していないホストを使って、修正プログラムをダウンロードする場合は、事前にそのホストの TCP 135番ポートへの外部からのアクセスが制限されていることを確認した上で行なってください。
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
==============================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
JPCERT-AT-2003-0005
JPCERT/CC
2003-08-13
JPCERT/CC Alert 2003-08-13
TCP 135番ポートへのスキャンの増加に関する注意喚起
Increase in TCP Port 135 scanning activity
http://www.jpcert.or.jp/at/2003/at030005.txt
I. 概要
JPCERT/CC では、TCP 135番ポートへの大量のスキャンが広範囲に渡って行なわれていることを確認しています。これらのスキャンは、MicrosoftWindows の RPC (Remote Procedure Call) の実装に含まれる既知の脆弱性を使用した侵入の試みである可能性があります。また、この脆弱性を使って伝播するワーム「W32/Blaster」の存在が報告されており、TCP 135番ポートへのスキャンはこのワームによる感染の試みである可能性もあります。
JPCERT/CC Vendor Status Note JVNCA-2003-20
W32/Blaster ワーム
http://jvn.doi.ics.keio.ac.jp/vn/JVNCA-2003-20.html
CERT Advisory CA-2003-20
W32/Blaster worm
http://www.cert.org/advisories/CA-2003-20.html
CIAC Bulletin N-133
Blaster Worm (aka: W32.Blaster, MSBlast, Lovsan, Win32.Poza)
http://www.ciac.org/ciac/bulletins/n-133.shtml
マイクロソフト セキュリティ情報
Blaster に関する情報
http://www.microsoft.com/japan/technet/security/virus/blaster.asp
II. 対象
2003年 7月に Microsoft が公開した Microsoft Windows の修正プログラムが適用されていないシステムは、侵入やワームによる感染などの被害を受ける可能性があります。対象となるのは以下のバージョンの Microsoft Windows
です。
- Microsoft Windows NT Server 4.0
- Microsoft Windows NT Server 4.0, Terminal Server Edition
- Microsoft Windows 2000
- Microsoft Windows XP
- Microsoft Windows Server 2003
詳細は以下の URL で示したページをご参照ください。
マイクロソフト セキュリティ情報
RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980) (MS03-026)
http://www.microsoft.com/japan/technet/security/bulletin/MS03-026.asp
JPCERT/CC Vendor Status Note JVNCA-2003-16
Microsoft Windows RPC にバッファオーバーフローの脆弱性
http://jvn.doi.ics.keio.ac.jp/vn/JVNCA-2003-16.html
JPCERT/CC Vendor Status Note JVNCA-2003-19
Microsoft Windows RPC の脆弱性を対象とする侵害活動
http://jvn.doi.ics.keio.ac.jp/vn/JVNCA-2003-19.html
III. ワーム感染の確認および対処方法
「W32/Blaster」ワームに感染しているホストは、タスクマネージャのプロセス一覧の中に msblast.exe があります。この場合は、ホストをネットワークから切り離し、タスクマネージャで msblast.exe のプロセスを終了します。その後、以下の文書にしたがって、msblast.exe を削除するなどの対処をします。
マイクロソフト セキュリティ情報
Blaster に関する情報
http://www.microsoft.com/japan/technet/security/virus/blaster.asp
CERT/CC: W32/Blaster Recovery Tips
W32/Blaster Recovery Tips
http://www.cert.org/tech_tips/w32_blaster.html
ただし、msblast.exe のファイル名が異なるなどの亜種が存在する可能性もあるため、上記の方法では不充分な場合があることに注意してください。その場合は、不審なプロセスが動いていないか、また不審な通信が行なわれていないか注意深く確認してください。
もし不審なプロセスが存在していたり、不審な通信が行なわれている場合には、まずそのホストをネットワークから切り離すことをご検討ください。これによりワームの増殖などの被害の拡大を防ぐことができます。
システムを復旧するためには、まず必要なファイルのバックアップを取り、ハードディスクをフォーマットした上で、OS を再インストールしてください。その後、Microsoft が提供している修正プログラムを適用してください (詳細は「IV. 予防方法および再発防止策」を参照)。
なお、システムの改竄が行われたと考えられるホストからのデータの移行や、そのホストの OS の再インストールの際にバックアップテープ等を利用される場合は、バックアップされた情報自体に、ワームなどによって置き換えられたファイルやインストールされたプログラム等が記録されてしまっていないか、十分にご注意頂くことをお勧めします。
IV. 予防方法および再発防止策
Microsoft Windows への侵入やワームの感染を防ぐために、Microsoft が提供している修正プログラムを適用してください。詳細については以下の URL
で示したページをご参照ください。
マイクロソフト セキュリティ情報
RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980) (MS03-026)
http://www.microsoft.com/japan/technet/security/bulletin/MS03-026.asp
更に Windows RPC の脆弱性を使った侵入や「W32/Blaster」ワームによる感染および増殖の被害を抑えるために、ルータなどのパケットフィルタリング機能を使って、外部から内部、更に内部から外部への以下のポート宛の不要なパケットを制限することをお勧めします。
- 69/UDP
- 135/TCP
- 135/UDP
- 139/TCP
- 139/UDP
- 445/TCP
- 445/UDP
- 4444/TCP
特に、修正プログラムを適用していないホストを使って、修正プログラムをダウンロードする場合は、事前にそのホストの TCP 135番ポートへの外部からのアクセスが制限されていることを確認した上で行なってください。
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
==============================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
前
コメント
共 有
