セキュリティ情報

Microsoft セキュリティ情報 MS00-087 - 重大

"ターミナル サーバー ログイン バッファー オーバーフロー" の脆弱性に対して利用可能な修正プログラム

公開日: 2000 年 11 月 8 日

バージョン: 1.0

投稿日: 2000 年 11 月 8 日

まとめ

Microsoft は、Microsoft® Windows NT 4.0 ターミナル サーバーのセキュリティの脆弱性を排除する修正プログラムをリリースしました。 この脆弱性により、悪意のあるユーザーがターミナル サーバーを失敗させたり、特定のインスタンスでサーバー上で悪意のあるコードを実行したりする可能性があります。

影響を受けるソフトウェア:

• Microsoft Windows NT 4.0 ターミナル サーバー

脆弱性識別子:CVE-2000-1149

一般情報

技術詳細

技術的な説明:

ターミナル サーバーのログイン プロンプトでチェックされていないバッファーを使用すると、悪意のあるユーザーがターミナル サーバーで任意のコードを実行する可能性があります。 任意のコードを実行する機能により、悪意のあるユーザーは、データの追加、変更、削除、サーバー上のコードの実行、サーバーへの新しいコードのアップロード、実行が可能になります。 悪意のあるユーザーは、この攻撃を開始するためにターミナル サーバーに正常にログインする必要はありません。

接続要求がフィルター処理されない場合、この脆弱性がリモートから悪用される可能性があります。 既定では、ターミナル サーバーは tcp ポート 3389 でリッスンします。 インターネットからターミナル サーバーへのアクセスが必要ない場合は、ファイアウォールやルーターでこのポートをブロックする必要があります。

よく寄せられる質問

このセキュリティ情報は何ですか?
Microsoft セキュリティ情報 MS00-087 は、Microsoft® Windows NT 4.0 ターミナル サーバーの脆弱性を排除する修正プログラムの提供を発表します。 Microsoft は、お客様の情報の保護に取り組んでおり、脆弱性とその脆弱性に関して何ができるかをお客様に知らせるセキュリティ情報を提供しています。

この脆弱性の範囲は何ですか?
これはバッファー オーバーフローの脆弱性です。 悪意のあるユーザーがこの脆弱性を悪用して、ターミナル サーバーで自分が選択したコードを実行する可能性があります。 これにより、データの追加、変更、削除、サーバー上のコードの実行、サーバーへの新しいコードのアップロード、実行が可能になります。 バッファー オーバーフローが正常に実行されないと、ターミナル サーバーへのローカル アクセス権を持つ悪意のあるユーザーがこの脆弱性を利用してターミナル サーバーが失敗する可能性があります。 ターミナル サーバーへの現在の接続と、ターミナル サーバーで進行中の作業が失われると、ターミナル サーバーが失敗します。 この脆弱性は NT 4.0 ターミナル サーバーにのみ影響します。 Windows NT ワークステーション、または Windows NT 4.0 Server のターミナル サーバー以外のエディションでは、対応する脆弱性はありません。 この脆弱性は、Windows 2000 用ターミナル サーバーには存在しません。

この脆弱性の原因は何ですか?
Windows NT 4.0 ターミナル サーバーのコードセクションにはチェックされていないバッファーがあり、ユーザーがサーバーにログオンしたときにユーザー名を処理します。 このチェックされていないバッファーは、マシン上で任意のコードを実行するために、クラシック バッファー オーバーラン攻撃によって悪用される可能性があります。

バッファー オーバーランを使用してシステムを悪用するにはどうすればよいですか?
バッファー オーバーランは、悪意のあるユーザーがプログラム内のチェックされていないバッファーを悪用し、プログラム コードを独自のデータで上書きすると発生します。 プログラム コードが新しい実行可能コードで上書きされた場合、攻撃者の指示に従ってプログラムの操作が変更されます。 他のデータで上書きされた場合、プログラムが失敗する可能性があります。

この場合、未チェックバッファーはどこにありますか?
チェックされていないバッファーは、ログイン プロンプトのユーザー名フィールドに含まれています。

この脆弱性を悪用するには、悪意のあるユーザーがネットワークにログオンできる必要がありますか?
いいえ。 悪意のあるユーザーは、選択したコードを実行するためにターミナル サーバーに正常にログインする必要はありません。

悪意のあるユーザーのコードは何ができますか?
悪意のあるユーザーのコードは、ログオンした管理者が実行できる任意のアクションをサーバー上で実行する可能性があります。 これには、ファイルの追加、削除、変更、サーバーでのコードの実行、悪意のあるユーザーが選択したコードのサーバーへのアップロードが含まれます。

一般に、バッファー オーバーランはクラッシュを引き起こすか、コードを実行するために使用できます。 しかし、あなたは前者のケースについて話し合っていません。 この脆弱性によってターミナル サーバーがクラッシュする可能性はありますか?
はい。 ただし、このシナリオをほとんど無関係にする重要な考慮事項がいくつかあります。 悪意のあるユーザーがランダム なデータでバッファーをオーバーランした場合、その影響はサーバーへのアクセス方法によって異なります。 リモート セッションを介してこの脆弱性を悪用した場合、その影響はセッションを切断することになり、システムに損害を与えることができませんでした。 ローカル ログインを介してこの脆弱性を悪用した場合、サーバーは失敗します。 しかし、ローカルでログオンできる場合は、悪意のあるユーザーが電源ボタンを簡単にオフにしている可能性があります。

誰かがこの脆弱性を介してインターネットから私のネットワークを攻撃できますか?
適切に構成されたファイアウォール (外部ユーザーが特定の内部ネットワーク アドレス (このインスタンスでは tcp 3389) にパケットを配信できないようにするファイアウォールは、この脆弱性がインターネット ユーザーによって悪用されるのを防ぎます。

この脆弱性は Windows 2000 ターミナル サーバーに影響しますか?
いいえ。 この脆弱性は、Windows 2000 ターミナル サーバーには存在しません。

この脆弱性は、ターミナル サーバー エディション以外の Windows NT 4.0 システムに影響しますか?
いいえ。 この脆弱性は、ターミナル サーバーを実行していない Windows NT 4.0 システムには影響しません。

お客様は何を行う必要がありますか?
Microsoft では、この脆弱性が安全なコンピューティングに与えるリスクを評価し、パッチを適用するかどうかを判断することをお勧めします。 この更新プログラムのダウンロード場所は、セキュリティ情報に記載されています。 お客様は、次のような他のセキュリティのベスト プラクティスを検討することもできます。

• 既知のセキュリティ脆弱性を悪用する攻撃を検出して停止する高品質の侵入検出ソフトウェア パッケージをデプロイする。
• ファイアウォールをデプロイし、不要なトラフィックをフィルター処理する。 たとえば、システム管理者は TCP ポート 3389 をフィルター処理し、ターミナル サーバー セッションを設定する正当な必要性がわかっている IP アドレスからのトラフィックのみをそのポートで許可することができます。

誰がパッチを使用する必要がありますか?
Windows NT 4.0 ターミナル サーバーを実行しているお客様は、修正プログラムのインストールを検討することをお勧めします。

パッチは何をしますか?
この修正プログラムは、ターミナル サーバーのログイン時に表示されるログイン資格情報を適切に処理することで、この脆弱性を排除します。

パッチ操作方法使用しますか?
サポート技術情報の記事には、サイトにパッチを適用するための詳細な手順が含まれています。

パッチはどこで入手できますか?
パッチのダウンロード場所は、セキュリティ情報の「パッチの可用性」セクションで 提供されています。

パッチを正しくインストールしたかどうかを確認するにはどうすればよいですか?
サポート技術情報の記事では、パッチ パッケージ内のファイルのマニフェストを提供します。 修正プログラムが正しくインストールされていることを確認する最も簡単な方法は、これらのファイルがコンピューターに存在し、KB (キロバイト)の記事に示されているサイズと作成日が同じであることを確認することです。

Microsoft はこの問題について何をしていますか?

• Microsoft は、この脆弱性を排除する修正プログラムを提供しています。
• Microsoft は、脆弱性とその排除手順について詳しく理解できるように、セキュリティ情報とこの FAQ を提供しています。
• Microsoft は、Microsoft 製品セキュリティ通知サービス (お客様が Microsoft セキュリティ情報を最新の状態に保つ場合に使用できる無料の電子メール サービス) に、セキュリティ情報のコピーをすべてのサブスクライバーに送信しました。
• Microsoft は、脆弱性と手順について詳しく説明するサポート技術情報の記事を発行しました。

セキュリティのベスト プラクティスの詳細については、どこで確認できますか?
Microsoft TechNet セキュリティ Web サイトは、Microsoft のセキュリティに関する情報を取得するのに最適な場所です。

この問題操作方法テクニカル サポートを受けますか?
Microsoft 製品サポート サービスは、この問題またはその他の製品サポートの問題に関するサポートを提供できます。

パッチの可用性

このパッチのダウンロード場所

• Microsoft Windows NT 4.0 ターミナル サーバー:

  https://www.microsoft.com/download/details.aspx?FamilyId=74C3848B-8B3A-4151-B79D-F8FE3A2AE3AB&displaylang;=en

このパッチに関する追加情報

インストール プラットフォーム: この問題に関連する詳細については、次のリファレンスを参照してください。

• Microsoft サポート技術情報 (KB (キロバイト)) の記事 Q277910、https:

その他の情報:

受信確認

Microsoft は、CORE SDI (www.core-sdi.com) のブルーノ Acselrad にこの問題を報告し、お客様を保護するために Microsoft と協力していただきありがとうございます。

サポート: これは完全にサポートされているパッチです。 Microsoft 製品サポート サービスへの問い合わせに関する情報は、/https:https:> にあります。<

セキュリティ リソース:Microsoft TechNet セキュリティ Web サイトは、Microsoft 製品のセキュリティに関する追加情報を提供します。

免責事項:

Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン：

• 2000 年 11 月 8 日: セキュリティ情報が作成されました。

2014-04-18T13:49:36Z-07:00</https にビルド:>