[MS01-007] 「Network DDE Agent 要求」の脆弱性に対する対策

文書翻訳 文書翻訳
文書番号: 285851 - 対象製品
この記事は、以前は次の ID で公開されていました: JP285851
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
すべて展開する | すべて折りたたむ

現象

Microsoft は、Microsoft Windows 2000 のセキュリティ上の脆弱性を排除する修正プログラムをリリースしました。この脆弱性を利用することにより、悪意のあるユーザーが該当するコンピュータを完全に制御することができる場合があります。

Network Dynamic Data Exchange (DDE) は、異なる Windows コンピュータ上でのアプリケーションのデータ共有を可能にする技術です。このデータ共有は、"信頼する共有" と呼ばれる通信チャネルを介して行われます。信頼する共有は、Network DDE Agent と呼ばれるサービスによって管理されます。仕様では、ローカル コンピュータのプロセスは、Network DDE Agent に要求を提出することができます。この要求には、特定の信頼する共有と連携して動作する必要のあるアプリケーションの種類を指定するものが含まれます。しかし Windows 2000 では、Network DDE Agent がローカル システムのセキュリティ コンテキストを使用して動作し、ユーザーのセキュリティ コンテキストではなく、ローカル システムのセキュリティ コンテキストを使ってすべての要求を処理するため、脆弱性の問題が発生します。この結果、悪意のあるユーザーは、Network DDE Agent がローカル システム コンテキストでコードを実行できるようにすることが可能になります。この操作を行うことにより、悪意のあるユーザーは、ローカル コンピュータを完全に制御することができます。

この脆弱性を利用するには、悪意のあるユーザーは、該当するコンピュータでコードを実行できる権限が必要となります。ただし、権限のないユーザーが、ドメイン コントローラやほかのサーバーなどのセキュリティを重視するコンピュータ上でコードを実行できないよう、最善の対策をとることが強く推奨されています。これらの推奨に従っている場合、この脆弱性による攻撃を受けることはありません。さらに、ターミナル サービスを実行しているコンピュータは、この脆弱性による影響を受けません (権限のないユーザーがコンソールでのログオンを許可されている場合を除きます。ただし、このようなログオンは推奨されていません)。 こうした制限のため、この脆弱性の影響を受ける可能性が最も高いのはワークステーションです。したがってこの脆弱性による被害は限定されたものになります。これは、ワークステーションが完全に制御された場合でも、そのドメインで追加の権限が付与されることはほどんどないためです。

弊社では、Windows 2000 ベースのワークステーションを実行しているお客様と Windows 2000 サーバーで権限のないユーザーによるコードの実行を許可しているお客様に対し、この修正プログラムを直ちに適用することを推奨いたします。Windows 2000 Web サーバーを実行しているお客様も、追加の予防措置としてこれらのサーバーへの修正プログラムの適用を検討することをお勧めします。悪意のあるユーザーが、ほかの脆弱性を利用して、Web サーバー上の制限されたコンテキストでコードを実行する権限を取得できた場合、この脆弱性により悪意のあるユーザーの権限が直ちに昇格され、より大きな損害が生じる恐れがあります。

解決方法

この問題を解決するには、Windows 2000 セキュリティ ロールアップ パッケージ 1 (SRP1) を適用するか、SRP1 を適用できない場合は個別の修正プログラムを適用してください。 SRP1 についての追加情報は次のサポート技術情報をご覧ください。
311401 Windows 2000 Security Rollup Package 1 (SRP1), January 2002
この問題については、修正モジュールを用意しています。ただし、この修正モジュールは広範なテストの対象となっていません。この修正モジュールは、この脆弱性を利用した攻撃を受ける恐れがあると考えられるシステムにのみ適用してください。システムの危険度は、システムが物理的にアクセス可能かどうか、ネットワークやインターネットの接続形態などの要因を総合的に評価した上で判断してください。
マイクロソフト セキュリティ情報 を参照して、この判断に役立てることができます。システムへの危険性が高い場合には、この修正ファイルを適用することをお勧めします。そうでない場合、この修正ファイルを含む次の Windows 2000 サービスパックのリリースを待つことをお勧めします。

この問題を解決するには、次の手順に従って修正プログラムをダウンロードするか、Microsoft テクニカル サポート窓口にお問い合わせの上、修正プログラムを入手してください。Microsoft テクニカル サポートの電話番号一覧およびサポート料金については、次の Web ページを参照してください。

http://support.microsoft.com/contactus/?ws=support
: 弊社のサポート エンジニアは、特定のアップデートを適用することでお客様の問題を解決できると判断することがあります。このような場合は、通常のサポートにかかる料金を免除させていただくことがあります。ただし、特定のアップデートの対象とならない追加のご質問や問題については、通常のサポート料金を請求させていただきます。

下記のファイルは、Microsoft ダウンロード センターからダウンロードできます。次のファイル名をクリックして、ファイルをダウンロードしてください。
日本語 :
元に戻す画像を拡大する

ダウンロード
Q285851_W2K_SP3_x86_ja.exe

日本語 (NEC) :
元に戻す画像を拡大する

ダウンロード
Q285851_W2K_SP3_NEC98_ja.exe
Microsoft ダウンロード センターからファイルをダウンロードする方法の詳細については、下記のアドレスにアクセスし、
http://www.microsoft.com/downloads/Search.aspx?LangID=13&LangDIR=JA
[Microsoft ダウンロード センターの使い方] をクリックしてください。 修正ファイルの属性は次のとおりです。ただし、これより新しい修正ファイルがリリースされている可能性もあります。
   日付       時刻   サイズ    ファイル名   プラットフォーム        
   --------------------------------------------------------
   
   2001/10/11  16:15   178,960 winlogon.exe   x86
   2001/06/01  01:45   178,960 winlogon.exe   NEC PC9800

状況

マイクロソフトでは、この問題により Microsoft Windows 2000 のセキュリティにある程度の脆弱性が生じる可能性があることを確認しています。

この問題を解決するためのモジュールは、Windows 2000 日本語版サービスパック 3 以降に含まれております。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
260910 最新の Windows 2000 Service Pack の入手方法

詳細

Windows 2000 Datacenter Server 用修正プログラムの入手方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
265173 Datacenter Program と Windows 2000 Datacenter Server
複数の修正プログラムのインストール時に再起動を 1 回のみにする方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
296861 QChain.exeを使用して複数のHOTFIXを再起動せずにインストールする方法
この脆弱性の問題の詳細については、次の Microsoft Web サイトを参照してください。
http://www.microsoft.com/japan/technet/security/bulletin/MS01-007.mspx

プロパティ

文書番号: 285851 - 最終更新日: 2014年2月24日 - リビジョン: 1.7
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Professional
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
キーワード:?
kbnosurvey kbarchive kbbug kbfix kbnetworking kbwin2000presp3fix kbgraphxlinkcritical kbwin2000sp3fix kbsecurity kbhotfixserver KB285851
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com