counterth access

win95に関するOOBバグの対策レポート


May. 27, 1997.

河合一穂


注意

このレポートはwin95日本語版のOOBバグについて独自に調査した報告です。ここに記載された内容は2台DOS/Vマシンにインストールされたmicrosoft windows95 4.00.950a(日本語版)について行った実験について記載したものですが、再現性さえ検討していません。従って他のいかなるマシン,環境について動作を保証するものではありません。ここに書いてある情報を利用していかなる結果を招いても筆者はその責を負うことができません。

Microsoft社製のOS,windows95全てのバージョンに対してOOBバグと呼ばれるセキュリティホールがあることが報告されています。この調査は次の目的で行いました。OOBバグに対してmicrosoft社が提供しているパッチが日本語win95に対する有効かどうかを明らかにすること。ただし,技術的なことは不問とし,各プログラムなどの動作確認のみを行いました。

このドキュメントの引用,転載は認めません。
リンクに当たっては事前に連絡して下さい。
重大なミスが発見されたり,ファイル削除したりして大きな変更がある場合可能な限り通知してフォローしたいからです。
また河合一穂のメールアドレスは絶対に転載しないでください。


【攻撃用プログラム WinNUKE.exe】

OOBバグを攻撃するためのプログラムというのがアンダーグラウンドでいくつか流通しているようですが,そのうちwindows用のWinNUKE.exeというプログラムを手に入れました。

WinNUKE.exe (ver 1.0.0.0) サイズ:212KB

このプログラムが本当にOOBバグ攻撃をしているかどうかはわかりません。またこの種のプログラムがウィルスに感染してないという確率はかなり低いことを記憶に留めて置いて下さい。当然,私が持っているプログラムについてもウィルスがない保証はありませんし,それを確かめる方法もありません。従って,このプログラムに関する質問には一切お答えできません。

【OOBバグを攻撃されたときの動作】(WinNUKE.exe の動作確認)

windows95 4.00.950a(日本語版)をインストールした2台のマシンを利用し,片方のマシン(A)からWinNUKE.exeを用いてもう一方のマシン(B)を攻撃しました。どちらのマシンも特別なアプリケーションは動作させてない状態で実験を行いました。攻撃された(B)の画面はシステムエラー時の青い画面に切り替わり次のようなメッセージが出ました。


例外0EがVxD MSTCP(91)+000041AEの
0028:C0FF872で発生しました。
このままつづけてもかまいません。

*続けるにはどれかキーを押して下さい
*Ctrl+Alt+Delキーを押すとコンピュータを再起動します
 この場合アプリケーションで保存していないデータはすべて失われます。

どれかキーを押すと続行します。


何かキーを押すと元の画面に戻り一見正常動作しているように見えますが,報告通りネットワーク機能は再起動するまで使えなくなるようです。ftpクライアントソフトを起動して試しましたが通信できませんでした。

これらの動作はwindows95英語版について報告されているOOBバグを攻撃された動作と一致しています。

【Vtcpupd.exe のインストール】

microsoftからダウンロードしたVtcpupd.exe ver. 4.71.0514.0 size 248KBをインストールしました。あらかじめVnbt.386とVtcp.386はバックアップをとっておいた方が賢明だと思われます。Vtcpupd.exeはダブルクリックするだけ動作します。メッセージとして


windows95のファイルとは言語またはコードページの異なるファイルがシステムに存在します。なるべく現在あるファイルを保存しておいて下さい。

フィルタ名 qfecheck.exe
説明 winodws95 アップデート情報ツール
言語 日本語
コードページ 1200


というのが出て,現在のファイルを保存するかどうか[はい][いいえ]で答えるようダイアログボックスが出ます。私は[はい]を選択しました。この場合qfecheck.exeは特に書き換えられないようです。そしてインストールの結果

Vnbt.386 ver. 4.00.950 size 93.7KB → ver. 4.00.959 size 93.2KB
Vtcp.386 ver. 4.00.454 size 46.2KB → ver. 4.00.954 size 46.3KB

に書き換えられました。この後再起動します

【結果;Vtcpupd.exe の有効性】

再び(A)からWinNUKE.exeによって(B)を攻撃しても,(B)には特に反応はみられませんでした。Vtcpupd.exeによって少なくともWinNUKE.exeによる攻撃は防げるようになるようです。

Vtcpupd.exeはwin95日本語版に対してある程度有効である

【残された課題】

  • OOBバグはポート139の他のポート(138や137)にもあるようですが,おそらくWinNUKE.exeはポート139を攻撃するものと思われます。従ってVtcpupd.exeによって139以外のポートが安全になったかは全く不明です。
  • Vtcpupd.exe以外のパッチとして知られているfixoobについてはパッチを当てた副作用としてOOBを扱う通常の動作もできなくなると報告されていますが,Vtcpupd.exeについてこれらの副作用があるかどうかは全く不明です
  • NEC製の98のwindows95に対してWinNUKE.exeの攻撃は効かないとの噂がありますが,NECやエプソンのwindows95のOOBバグについては全く不明です。
    →追試参照

    【参照すべきページ】

    日本語:

    英語:

    【補追情報】

    以下の内容について詳しく調べた訳ではありません。動作確認できる環境でもありません。全てご自分で調査,確認下さい。

    1997.5.28

    mac OSのためのweb serverプログラム"MacHTTP/ WebStar"で用いる攻撃用CGIが公開,配布されています。従ってwindowsでネットサーフィンしていたら,いきなりそのCGIを実装しているページに飛ばされてwindowsがハングアップすることがありえます。「ppp接続ならIP特定できないから攻撃される心配なんかない」ということは決してありません。

    <ダイヤルアップでWWWを楽しんでいるwindows userも防御が必要です。>

    自分のマシンのport 139への攻撃に対する挙動を知りたければ,Web Interface to winnuke.cでテストができます。テストする前にブラウザ以外の全てのアプリケーションを終了させ,また自分が何をしようとしているかよく理解してから[I understand]のボタンを押して下さい。

     windowsNT 4.0についてMyDesktop.Com EXCL USIVE - Windows95/NT/3.11 BUG!においてはmicrosoftのパッチService Pack 2を指示していますが,少なくともこれだけでは十分ではありません。現在既にService Pack 3Post-SP3 hotfixが出ています。
     windowsNT 3.51についてもService Pack 5の上にさらに当てるべきパッチPatch for NT 3.51が出ています。
    注) NT 4.0+Service Pack 3をcrashできるというプログラムも既に各種公開,配布されています。
     windowsNTについてmicrosoftからはSecurity News, Advisories, and SolutionsMicrosoft Security Advisorから情報発信されています。

    OUT OF BAND DATA ATTACK(NT Security Net)内)やMyDesktop.Com EXCL USIVE - Windows95/NT/3.11 BUG!によれば,ポート139以外に危ないポートとして53,113があげられています。Out-of-Bandデータを取り扱うその他全てのポートが危険ということです。

    1997.6.2

    特に目新しくはありませんが,Nuked.にも情報があり,自マシンのテストができます。

    Secant Computing Systems, Incorporatedにも情報が出てます。情報としては古い。MyDesktop Network Homeは自分たちのページのいい加減な転載だと非難してますね。こういうことの言われないようにきちんどマナーを守りましょう。

    【追試】

    1997.5.28

    MyDesktop.Com EXCLUSIVE - Windows Bug Lives On!によれば,「NT 4.0+Service Pack 3 が持つ問題と同様の理由でmicrosoftのwin95用パッチではまだ攻撃に耐えられないという報告がある」との事です。NT 4.0+Service Pack 3をクラッシュできるといわれている WinNUKE.exe (ver. 1.0.0.1) size 188KB を手に入れてパッチ済みwin 95に攻撃してみました。その結果win95はWinNUKE.exe ver 1.0.0.1の攻撃に耐えられることがわかりました。

    1997.6.2

    NECのマシンについてパッチをあてないでWeb Interface to winnuke.cでテストしましたが,被攻撃後も正常動作しているようです。NECのmicrosoft windows95 4.00.950(日本語版)はパッチをあてないでもPort 139に対するOOBによる攻撃に絶えられるようです。

    【余談】

    microsoftもいい加減だけど日本のwindowsユーザもたいがいじゃないかな?このページ見て何か実行したならレポートぐらい送って下さい。(mail addressは非公開なのではありません。リンク先見てください。注意書きはきちんと読むこと)ここでポインターあげれなかったunder grooundの人々の方がよほどきちんとしていらっしゃる。