Windows DNS脆弱性悪用の動き広がる

ITmedia エンタープライズ：Windows DNS脆弱性悪用の動き広がる、ゼロデイワームも出現

Windows DNS脆弱性悪用の動き広がる、ゼロデイワームも出現
Windows DNS Serverの脆弱性を悪用した新たなゼロデイ攻撃が相次いで報告されている。
2007年04月17日 08時59分 更新

　MicrosoftのWindows DNS Serverに未パッチの脆弱性が見つかった問題で、これを悪用した新たなゼロデイ攻撃が相次いで報告されている。

　SANS Internet Storm CenterやMcAfee Avert Labsは4月16日、この脆弱性を突いたワームの亜種が出現していると伝えた。このワームは「Nirbot」「Rinbot」などと呼ばれ、複数の亜種が存在する模様だ。

　McAfeeが初めてこのワームを入手したのは15日。同ワームはIRCをコマンド＆コントロールとして利用、感染したコンピュータにバックドアを開き、攻撃者がリモートからアクセスして制御できる状態にしてしまうという。

　Microsoftはこの問題について4月12日にアドバイザリーを公開したが、15日に新しい情報を追加してアドバイザリーを更新。この時点で、新たなコンセプト実証コードが公開されたとの情報は入っているが、攻撃はまだ限定的だと説明している。

　当初の情報でMicrosoftは、この脆弱性を突いた攻撃は1024番以上のポートを使ったRPC経由でなければ実行できないと説明していた。

　しかしその後、445番ポート経由の攻撃に対応したエクスプロイト（Exploit、攻撃コード）が公開されたとの情報が浮上。Microsoftの回避策には、1024番以上のポートのブロックに加え、445番ポートのブロックも促す項目が追加された。

　SANSに入った報告では、この脆弱性を突いた攻撃は4月4日の時点で既に発生し、米カーネギーメロン大学でも攻撃を検出していたという。これはMicrosoftが言うような「ターゲット型攻撃」ではなく、「便乗型攻撃」のようだとSANSは伝えている。