RPC なりすまし攻撃が原因で Rpcss.exe が CPU を 100% 消費する

この記事は、以前は次の ID で公開されていました: JP193233
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
現象
システムとネットワークのパフォーマンスが低下し、Rpcss.exe プロセスが CPU 時間を 100% 消費する場合があります。ネットワークをプロトコル アナライザで分析すると、RPC なりすまし攻撃が原因で複数の RPC REJECT パケット (UDP ポート 135 宛て) が複数のシステムの間で送信されています。
原因
この問題は、Windows NT のリモート プロシージャ コール (RPC) コンポーネントに対する悪意のある攻撃が原因で発生します。

ポート 135 宛ての UDP パケットのなりすましにより、あるデータグラム RPC サーバーが別のデータグラム RPC サーバーに無効なデータを送信したかのように見える可能性があります。後者のサーバーは REJECT パケットを返します。最初のサーバーがさらに別の REJECT パケットで応答すると、パケットが破棄されるまで無限にこの動作が繰り返されます。このなりすまされた UDP パケットが複数のコンピュータに送信されると無限ループが発生し、CPU リソースとネットワーク帯域幅が消費されます。
解決方法

Windows NT 4.0

この問題を解決するには、Windows NT 4.0 の最新 Service Pack を入手します。詳細については、「サポート技術情報」 (Microsoft Knowledge Base) の次の資料を参照してください。

152734 Windows NT 4.0 の最新の Service Pack を入手する方法

この修正プログラムは Snk-fixi.exe および Snk-fixa.exe として公開されています。ユーザーの利便性を考慮して、この SP3 以降の修正プログラムの英語版がインターネットの次の場所で公開されています。ただし、マイクロソフトは Windows NT 4.0 Service Pack 4 をインストールしてこの問題を修正することをお勧めします。

Windows NT 4.0 Terminal Server Edition

この問題を解決するには、Windows NT Server 4.0 Terminal Server Edition の最新の Service Pack を入手します。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
152734 Windows NT 4.0 の最新の Service Pack を入手する方法

この修正プログラム (Snk-fixi.exe、Snk-fixa.exe) は、インターネットの次の場所で公開されています。

状況
マイクロソフトは、この問題により Windows NT 4.0 および Windows NT 4.0 Terminal Server Edition のセキュリティに、ある程度の脆弱性が生じる可能性があることを確認しています。この問題は Windows NT 4.0 Service Pack 4.0 および Windows NT Server 4.0 Terminal Server Edition Service Pack 4 で最初に修正されました。
詳細
詳細については、次のマイクロソフト セキュリティ情報を参照してください。
denial of service attack snork tse wts
プロパティ

文書番号:193233 - 最終更新日: 12/05/2015 09:21:07 - リビジョン: 3.0

Microsoft Windows NT Server 4.0 Terminal Server, Microsoft Windows NT Workstation 4.0 Developer Edition, Microsoft Windows NT Server 4.0 Standard Edition

  • kbnosurvey kbarchive kbbug kbfix KB193233
フィードバック