（緊急）Windows DNSサーバーの脆弱性を利用した攻撃について

DNS関連技術情報のトップへ戻る
---------------------------------------------------------------------
■（緊急）Windows DNSサーバーの脆弱性を利用した攻撃について
  - セキュリティ更新プログラムの適用を強く推奨 -

                                株式会社日本レジストリサービス（JPRS）
                                            初版作成 2011/08/11（Thu）
---------------------------------------------------------------------

▼概要

  Windows Server 2003、2008及び2008 R2のWindows DNSサーバーには実装上
  の不具合があり、リモートからのサービス不能（DoS）攻撃、またはサーバー
  上における任意のコードの実行が可能になる脆弱性が存在することが、開発
  元のMicrosoftより発表されました。本脆弱性により提供者が意図しないサー
  ビスの停止や、当該サーバーの乗っ取りなどが発生する可能性があります。

  本脆弱性は危険度が高いことから、該当するWindows DNSサーバーを利用し
  ているユーザーは、関連情報の収集、セキュリティ更新プログラムの適用な
  ど、適切な対応を速やかに取ることを強く推奨します。

▼詳細

  NAPTR（Naming Authority Pointer）レコードは、ENUM（Telephone Number
  Mapping）を実現するために使われる技術であるDDDS（Dynamic Delegation
  Discovery System）の中で定義されるDNSのリソースレコードの一つであり、
  その取り扱いの詳細はRFC 3401、3402、3403、及び3404で定義されています。

  Windows Server 2003、2008及び2008 R2のWindows DNSサーバーでは、
  NAPTRレコードの取り扱いに関する実装上の不具合により、攻撃者がその制
  御下にあるドメイン名においてNAPTRレコードを作成したうえで、特別に細
  工されたNAPTRレコードのDNS問い合わせを標的となるDNSサーバーに送信す
  ることにより、リモートからのサービス不能（DoS）攻撃（Windows Server
  2003の場合）、またはサーバー上における任意のコードの実行（Windows
  Server 2008及び2008 R2の場合）が可能になります。

  本脆弱性の対象となるWindows Serverのバージョンは以下の通りです。

  ・Windows Server 2003 Service Pack 2
  ・Windows Server 2003 x64 Edition Service Pack 2
  ・Windows Server 2003 with SP2 for Itanium-based Systems
  ・Windows Server 2008 for 32-bit Systems Service Pack 2
  ・Windows Server 2008 for x64-based Systems Service Pack 2
  ・Windows Server 2008 R2 for x64-based Systems
  ・Windows Server 2008 R2 for x64-based Systems Service Pack 1

  なお、当該サーバーにおいてWindows DNSサーバーの機能が有効にされてい
  ない場合、本脆弱性の影響を受けません。

  開発元であるMicrosoftは、本脆弱性の総合的な深刻度（Aggregate
  Severity Rating）を「重要（Important）」（Windows Server 2003の場合）
  または「緊急（Critical）」（Windows Server 2008及び2008 R2の場合）と
  評価しています。

  本脆弱性については、以下の脆弱性情報（*1）も併せてご参照ください。

  （*1）CVE - CVE-2011-1966
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1966>
        CVE - CVE-2011-1970
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1970>

▼解決策

  当該サーバーにおいて自動更新を有効にしている場合、セキュリティ更新プ
  ログラムが自動的にダウンロードおよびインストールされます。自動更新を
  有効にしていない場合、セキュリティ更新プログラムを手動でインストール
  する必要があります。

▼参考リンク

  以下に、開発元であるMicrosoftから発表されている情報、及びJPCERT/CCか
  ら公開されている注意喚起へのリンクを記載します。

  * Microsoft

    マイクロソフト セキュリティ情報 MS11-058 -- 緊急
    DNS サーバーの脆弱性により、リモートでコードが実行される (2562485)
    <https://www.microsoft.com/japan/technet/security/bulletin/MS11-058.mspx>

  * JPCERT/CC

    2011年8月 Microsoft セキュリティ情報 (緊急 2件含) に関する注意喚起
    <https://www.jpcert.or.jp/at/2011/at110021.html>

---------------------------------------------------------------------
▼更新履歴
  2011-08-11 13:00 初版作成