"SMB replay/reflection attack"に関する脆弱性(Microsoft Server Message Block（SMB）プロトコルの脆弱性)は2001年から知られていたが，やっとこさ先日その脆弱性に対する更新プログラムが公開された．この脆弱性は，リモートで任意のコードが実行される危険性があり，悪意のある者によってプログラムのインストール・データの表示・変更・削除・完全なユーザー権限を持つ新たなアカウントを作成するなどが可能となってしまう危険性がある．ちなみに，11月の月例パッチにて「MS08-068」は既にリリースされているので，11月の月例パッチ(WindowsUpdate)をきちんと当てている人は問題ない．

　Microsoft explains the seven-year delay in issuing a patch - heiseSecurity
　マイクロソフト セキュリティ情報 MS08-068 - 重要 - Microsoft

　この脆弱性に関しては，以下に引用，および詳細はリンク先の該当記事を参照されたい．

MS08-068：SMBの脆弱性
　MS08-068では、ファイル共有などに用いられるSMBプロトコルの脆弱性を修正する。脆弱性の最大深刻度は2番目に高い“重要”で、すでにWindows XP用の悪用コードも公開されているという。

　この脆弱性は、SMBプロトコルでの通信において、ユーザー資格情報の信頼性を確認するために用いられる「NTLM認証プロトコル」についての、応答データに対する認証の問題だ。NTLM認証ではチャレンジレスポンス認証メカニズムを採用しているのだが、サーバー上で細工することにより、ログオンしてきたユーザーの権限を取得することができてしまうという。今回の修正パッチでは、SMB認証の応答に対する認証方法を変更することにより、脆弱性を修正している。

　ファイル共有などに用いられるSMBプロトコルのため、悪用するためにはほとんどの場合には、攻撃者が同一LAN内に悪意のサーバーを立てる必要がある。悪用するとしても攻撃範囲が限定的になり、それほど脅威にはならないだろうが、注意しておくべき脆弱性だろう。
　　　　　11月のマイクロソフトセキュリティ更新を確認する - INTERNETWatchより引用

この更新プログラムは一般に公開された Microsoft Server Message Block (SMB) プロトコルに存在する脆弱性を解決します。この脆弱性により、影響を受けるコンピューターでリモートでコードが実行される可能性があります。その後、攻撃者はプログラムのインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。コンピューターのアカウントのユーザー権限を低く設定している場合、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性の影響が少なくなると考えられます。

このセキュリティ更新プログラムの深刻度はすべてのサポートされているエディションの Microsoft Windows 2000、Windows XP および Windows Server 2003 ついて「重要」、Windows Vista および Windows Server 2008 のすべてのサポートされているエディションについて「警告」と評価されています。詳細情報は、このセクションの「影響を受けるソフトウェアおよび影響を受けないソフトウェア」のサブセクションをご覧ください。

このセキュリティ更新プログラムは、資格情報の再生を防ぐため SMB 認証の応答に対する認証方法を変更することにより、この脆弱性を解決します。この脆弱性の詳細情報は、次の「脆弱性の情報」のセクションの特定の脆弱性に関するサブセクション「よく寄せられる質問 (FAQ)」をご覧ください。

推奨する対応策: マイクロソフトはお客様にできる限り早期にこの更新プログラムを適用することを推奨します。
　　　　　マイクロソフト セキュリティ情報 MS08-068 - 重要 - Microsoftより引用

　この「MS08-068」が最初に公開されたのは2008/11/12であるが，この問題はそもそも2001年頃から知られていたらしい．なぜ，こんなにもセキュリティパッチのリリースが遅れてしまったのだろうか．

Christopher Budd from the Security Team has responded to the question in the Microsoft Security Response Center (MSRC) blog. He says that any patch implemented at that time would have had an extremely negative impact on network-based applications. Many applications would have simply stopped working and others - Outlook 2000 and Exchange Server 2000, for example - would have been unable to communicate with each other.Although Microsoft advised customers concerned about this issue to use SMB signing as an effective mitigation, this was not always straightforward.
　　　　　Microsoft explains the seven-year delay in issuing a patch - heiseSecurityより引用

　Microsoft Security TeamのChristopher Buddによれば，今までセキュリティパッチが公開されなかったのは，そのときに実装されたパッチはどれも，ネットワークベースアプリケーションにおいて致命的な悪影響を持っていたらしい．多くのアプリケーションは機能を停止してしまい，他のアプリケーション同士(ex. Outlook 2000とExchange Server 2000)でのコミュニケートが不可能になってしまう．そのため，Microsoftはこの問題による影響の軽減策として，SMB署名を用いるようにアドバイスしていた．その後も，WindowsXP SP2やVistaなどで消極的解決が漸進的に図られていた．その一方で，ネガティブインパクトのないセキュリティパッチの開発も進められていた．

　そして，ついに先日の火曜日，11/11に月例パッチが公開され，長く存在していたセキュリティホールは遂に修正された．

関連：
[1] 11月定例パッチは「緊急」1件と「重要」件の計2件