いい加減なこと書いちゃったので、ちょっとは役に立つことをということで、気になっていた部分を簡単に調べた。
K-OTikのexploitをWindows2000SP4とWindowsXPSP1に撃つと、いくつかのところでネタになっているようにWindows2000SP4ではサクっと決まってしまって大変危険だという事がわかったりする。Windows XPSP1では撃ち込んだ方の接続が切れるとlsass.exeのエラーで再起動という具合。
ということでMS04-011を当てなさいとなるわけですが、どこかのGO指令がでないと当てられないなんて事もあるんじゃないかと。
MS04-011で修正された脆弱性は多岐にわたるのでアレですが、とりあえず危険な香りがぷんぷんなLSASSの脆弱性を防ぎたいという場合には、匿名接続の制御でどうにかなるじゃないかと思った。
そもそもLSASSの脆弱性というのはMicrosoftのMS04-011を読むと分かるように、『Windows 2000 および Windows XP のみが匿名ユーザーによってリモートで攻撃される可能性があります。』ということなので、匿名接続を禁止にするとよいのだろうと思った。
ということで伊原さんの匿名接続(NULL接続)に関するメモが登場。
試した結果 Windows 2000 では匿名ユーザーによるログオンの拒否
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA RestrictAnonymous = 2
にすることで、とりあえずK-OTikのexploitについては防げた感じです。(Windows 2000については仕事を終えて帰り際にちょこっとやっただけなので、ちょっと不安だったり(^^;))
RestrictAnonymous = 2ということは、XPでは設定できないので、ダメなのでした。ちゃんちゃん。
というか、これって既に話題になってたりしてたらm(_ _)m あと、そもそも境界境界でパケットフィルタリングせいというワケだが(笑
というか、パッチ当てましょう。
XPじゃダメなんですか?手元のXPは「2」になってました(汗)レジストリを直接いじった記憶があるような、ないような。。。名前「restrictanonymous」(全部小文字でした)は元々あったのは覚えてますが(汗汗)
あああ、伊原さんの所にちゃんと書いてありました。きちんと読まねば。。。またしても、やっちゃいました。ごめんなさい。
私、結構抜けてるとこあるんで、これからも気にせずツッコミいれてくださいm(_ _)m
しかし、XPでもどうにかなればいいんですけどねぇ。。。