マイクロソフト セキュリティ情報 MS15-083 - 重要

サーバー メッセージ ブロックの脆弱性により、リモートでコードが実行される (3073921)

公開日:2015 年 8 月 12 日 | 最終更新日: 2015 年 9 月 9 日

バージョン: 2.0

概要

このセキュリティ更新プログラムにより、Microsoft Windows の脆弱性が解決されます。この脆弱性により、SMB サーバーのエラー ログに対して攻撃者が特別に細工された文字列を送信した場合に、リモートでコードが実行される可能性があります。

このセキュリティ更新プログラムは、すべてのサポートされているエディションの Windows Vista および Windows Server 2008 について、深刻度が「重要」と評価されています。詳細については、「影響を受けるソフトウェア」のセクションを参照してください。

このセキュリティ更新プログラムは、メモリ破損が発生しないように特定のログ動作を修正することにより、この脆弱性を解決します。脆弱性の詳細については、「脆弱性の情報」を参照してください。

この更新プログラムの詳細については、サポート技術情報 3073921 を参照してください。

影響を受けるソフトウェア

次のソフトウェア バージョンまたはエディションが影響を受けます。一覧にないバージョンまたはエディションは、サポート ライフサイクルが終了しているか、この脆弱性の影響を受けません。ご使用中のソフトウェアのバージョンまたはエディションのサポート ライフ サイクルを確認するには、Microsoft サポート ライフサイクルの Web サイトを参照してください。

オペレーティング システム

最も深刻な脆弱性の影響

総合的な深刻度

置き換えられる更新プログラム*

Windows Vista

Windows Vista Service Pack 2
(3073921)

リモートでコードが実行される

重要

MS10-012 の 971468

Windows Vista x64 Edition Service Pack 2
(3073921)

リモートでコードが実行される

重要

MS10-012 の 971468

Windows Server 2008

Windows Server 2008 for 32-bit Systems Service Pack 2
(3073921)

リモートでコードが実行される

重要

MS10-012 の 971468

Windows Server 2008 for x64-based Systems Service Pack 2
(3073921)

リモートでコードが実行される

重要

MS10-012 の 971468

Windows Server 2008 for Itanium-based Systems Service Pack 2
(3073921)

リモートでコードが実行される

重要

MS10-012 の 971468

Server Core インストール オプション

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core インストール)
(3073921)

リモートでコードが実行される

重要

MS10-012 の 971468

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core インストール)
(3073921)

リモートでコードが実行される

重要

MS10-012 の 971468

* "置き換えられる更新プログラム" 列には、置き換えられる一連の更新プログラムの中で、最新の更新プログラムのみが表示されています。置き換えられる更新プログラムの完全な一覧については、Microsoft Update カタログにアクセスし、更新プログラムのサポート技術情報番号を検索してから、更新プログラムの詳細を表示します (置き換えられる更新プログラムの情報は [パッケージの詳細] タブにあります)。

深刻度および脆弱性識別番号

次の深刻度の評価は、脆弱性の影響が最も深刻な場合を想定しています。深刻度の評価およびセキュリティ上の影響に関連して、このセキュリティ情報の公開から 30 日間でこの脆弱性が悪用される可能性に関する情報については、8 月のセキュリティ情報の概要の Exploitability Index を参照してください。

影響を受けるソフトウェアごとの脆弱性の深刻度および最大のセキュリティ上の影響

影響を受けるソフトウェア

サーバー メッセージ ブロックのメモリ破損の脆弱性 - CVE-2015-2474

総合的な深刻度

Windows Vista

Windows Vista Service Pack 2
(3073921)

重要
リモートでコードが実行される

重要

Windows Vista x64 Edition Service Pack 2
(3073921)

重要
リモートでコードが実行される

重要

Windows Server 2008

Windows Server 2008 for 32-bit Systems Service Pack 2
(3073921)

重要
リモートでコードが実行される

重要

Windows Server 2008 for x64-based Systems Service Pack 2
(3073921)

重要
リモートでコードが実行される

重要

Windows Server 2008 for Itanium-based Systems Service Pack 2
(3073921)

重要
リモートでコードが実行される

重要

Server Core インストール オプション

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core インストール)
(3073921)

重要
リモートでコードが実行される

重要

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core インストール)
(3073921)

重要
リモートでコードが実行される

重要

脆弱性の情報

サーバー メッセージ ブロックのメモリ破損の脆弱性 - CVE-2015-2474

サーバー メッセージ ブロック (SMB) がある種のログ動作を適切に処理しない場合に発生し、結果的にメモリが破損する、認証されたリモート コードが実行される脆弱性が Windows に存在します。攻撃者はこの脆弱性を悪用し、影響を受けるコンピューターを完全に制御する可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります。

攻撃のシナリオで、攻撃者は有効な資格情報を所有し、SMB サーバーのエラー ログに特別に細工された文字列を送信します。

この更新プログラムは、メモリ破損が発生しないように特定のログ動作を修正することにより、この脆弱性を解決します。マイクロソフトは、協調的な脆弱性の公開を通じてこの脆弱性に関する情報を得ました。マイクロソフトは、このセキュリティ情報が公開された際に、この脆弱性が一般で悪用され、お客様が攻撃されていたことを示す情報を受けていませんでした。

問題を緩和する要素

マイクロソフトは、この脆弱性の問題を緩和する要素を確認していません。

回避策

お客様の状況で、次の回避策が役立つ場合があります。

  • SMBv1 を無効にする

    方法 1 (PowerShell を使用する):

    1. PowerShell 2.0 以降が搭載されている Windows Vista および Windows Server 2008 では、以下の PowerShell コマンドを実行する方法があります。

          Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force.
      
    2. コンピューターを再起動します。

    方法 2 (管理された配置スクリプトを使用する):

    1. 以下のテキストが含まれる、SMBv1-disable.reg という名前のテキスト ファイルを作成します。

          [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]"SMB1"=dword:00000000
      
    2. regedit.exe を実行します。

    3. レジストリ エディターで、[ファイル] メニューをクリックし、[インポート] をクリックします。
    4. 最初の手順で作成した SMBv1-disable.reg ファイルを参照して選択します (注: 想定される場所にファイルが表示されない場合は、自動で .txt ファイル拡張子が付与されていないことを確認するか、ダイアログのファイル拡張子のパラメーターを [すべてのファイル] に変更します)。
    5. [開く] をクリックし、[OK] をクリックしてレジストリ エディターを閉じます。
    6. コンピューターを再起動します。

    回避策の影響。 SMB が正常に機能しない場合があります。

    回避策の解除方法:

    方法 1 (PowerShell を使用する):

    1. PowerShell 2.0 以降が搭載されている Windows Vista および Windows Server 2008 では、以下の PowerShell コマンドを実行する方法があります。

          Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 –Force.
      
    2. コンピューターを再起動します。

    方法 2 (管理された配置スクリプトを使用する):

    1. 以下のテキストが含まれる、SMBv1-enable.reg という名前のテキスト ファイルを作成します。

          [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]"SMB1"=dword:00000001
      
    2. regedit.exe を実行します。

    3. レジストリ エディターで、[ファイル] メニューをクリックし、[インポート] をクリックします。
    4. 最初の手順で作成した SMBv1-enable.reg ファイルを参照して選択します。 (注: 想定される場所にファイルが表示されない場合は、自動で .txt ファイル拡張子が付与されていないことを確認するか、ダイアログのファイル拡張子のパラメーターを [すべてのファイル] に変更します)。
    5. [開く] をクリックし、[OK] をクリックしてレジストリ エディターを閉じます。
    6. コンピューターを再起動します。
  • SMB で認証の拡張保護を無効にする

    注: 強化モードを設定する前には、次の MSDN の資料を参照してください。認証の拡張保護の概要 (英語情報)

    1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに「regedit」と入力し、[OK] をクリックします。
    2. 次のレジストリを探します。

          HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
      
    3. [編集] メニューの [新規] を選択し、[DWORD 値] をクリックします。

    4. 「SmbServerNameHardeningLevel」と入力し、Enter キーを押します。
    5. [編集] メニューで、[変更] をクリックします。
    6. SmbServerNameHardeningLevel の値を 0 に設定し、[OK] をクリックします。
    7. レジストリ エディターを終了し、システムを再起動します。

    回避策の影響。 SMB が正常に機能しない場合があります。

    回避策の解除方法

    1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに「regedit」と入力し、[OK] をクリックします。
    2. 次のレジストリを探します。

          HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
      
    3. [SmbServerNameHardeningLevel] を選択し、Enter キーを押します。

    4. [編集] メニューの [削除] をクリックし、[はい] をクリックします。
    5. レジストリ エディターを終了し、システムを再起動します。

セキュリティ更新プログラムの展開

セキュリティ更新プログラムの展開については、「概要」のこちらで言及されているサポート技術情報を参照してください。

謝辞

マイクロソフトでは、協調的な脆弱性の公開によるお客様の保護に際して、セキュリティ コミュニティの方々からいただいたご助力に感謝いたします。詳細については、謝辞を参照してください。

免責

マイクロソフト サポート技術情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation およびその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation およびその関連会社は、本文書に含まれている情報の使用および使用結果につき、正確性、真実性など、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社およびこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社およびこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含むすべての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

  • V1.0 (2015/08/12):このセキュリティ情報ページを公開しました。
  • V2.0 (2015/09/09): CVE-2015-2472 に包括的に対処するため、マイクロソフトは、影響を受けるエディションの Windows Vista および Windows Server 2008 用のセキュリティ更新プログラム 3073921 を再リリースしました。この更新プログラムをインストール済みの Windows Vista または Windows Server 2008 を実行しているお客様は、この脆弱性から完全に保護するために、この更新プログラムを再インストールすることを推奨します。詳細については、サポート技術情報 3073921を参照してください。

Page generated 2015-09-08 09:23-07:00.