MS 製の OS を使ったネットワーク環境に、LAND 攻撃に対する脆弱性

あるセキュリティ専門家によると、ファイヤーウォールを適切に設定していない『Windows Server 2003』および『Windows XP Service Pack 2』(XP SP2) で運用しているネットワーク環境は、「LAND 攻撃」によってサービス不能化 (DoS) 状態に陥るという。

Microsoft (NASDAQ:MSFT) はこの問題を現在調査中だが、同社は遠隔的なコード実行の目的に、LAND 攻撃は利用できないと述べている。

セキュリティ専門家の Dejan Levaja 氏は、セキュリティに関するメーリングリスト『Bugtraq』への投稿で、Windows Server 2003 と XP SP2 が、LAND 攻撃に対して脆弱性を持つと報告した。LAND 攻撃とは、送信元 IP アドレスと送信元ポート番号を、送信先と同じ内容にした「SYN パケット」を送出する攻撃方法だ。SYN パケットそのものは、TCP セッション確立のためのパケットだが、前述のように改ざんした SYN パケットを受信したシステムがセッションを開こうとしても、送信元が自分自身を指しているため、応答のしようがないというものだ。

同氏の説明によると、ファイルサーバーに LAND 攻撃をかけると、そこに接続中の全てのマシン上で『Windows Explorer』が固まり、サーバーの CPU 使用率は100％になるという。同氏の投稿では、オープンソースのツール3種を用いて、LAND 攻撃用パケットの生成と記録、そして記録情報からパケット送出を再現して、継続的な DoS 状態を起こせると説明している。

Levaja 氏によると、この問題について2月25日に Microsoft に報告したが、何の回答も無かったため、情報公開を決めたという。

Microsoft の広報担当者は取材に対し、初期調査では、問題の脆弱性が遠隔的な任意コード実行に利用できないことがわかったという。事実、Levaja 氏は DoS 状態になると報告しているが、任意コード実行については報告していない。

Levaja 氏は自ら示した攻撃シナリオの結果として、「攻撃を受けたネットワークは完全崩壊に至る」と説明している。一方、Microsoft の広報担当者は、「現時点でのわが社の分析によると、攻撃が成功した場合の影響は、コンピュータの能力が短時間低下する程度だ。XP SP2 ではデフォルトで有効設定の『Windows Firewall』を用いているユーザーには、この問題の影響は及ばない。また、『技術情報 KB324270』に記した TCP/IP スタック強化策を適用した場合も同様に、この問題を利用しようとする攻撃の影響は受けない」と語った。

なお Microsoft の広報担当者は、今回の LAND 攻撃問題の調査を終え次第、月例セキュリティ更新で対応するなり、月例外で対応するといった、ユーザーを保護するための適切な対応をとると述べた。