Messenger サービスにセキュリティの脆弱性があり、これによって、影響を受けるシステムで任意のコードを実行できることがあります。 この脆弱性の悪用に成功した攻撃者は、影響を受けるシステムで、ローカルシステム権限でコードを実行できることがあるか、Messenger サービスを失敗させることがあります。
Messenger サービスを無効にすると、攻撃の可能性が阻止されます。

このプラグインは、この欠陥の有無を実際にテストします。

リモートホストで AOL Instant Messenger (AIM) が実行されています。AIM は一般的に使用されるチャットクライアントです。

リモートホストが実行しているバージョンの Windows には、その RPC インターフェースに欠陥があり、これによって攻撃者が、任意のコードを実行し、SYSTEM 権限を取得できることがあります。

攻撃者またはワームは、これを使用して、このホストをコントロールすることがあります。

これは、「MSBlast」（または Lovesan）ワームによって悪用される欠陥を修正する MS03-026 に記載されているものと同じバグではないことに、注意してください。

リモートホストが実行しているバージョンの NetBT ネームサービスは、メモリ漏洩問題の影響を受けます。

攻撃者は、リモート NetBT ネームサービスに特殊なパケットを送信することがあり、その応答には、リモートホストメモリからのランダムな任意データが含まれます。この任意データは、リモートユーザーが閲覧している Web ページからのフラグメント、またはパスワードなどのより深刻なもののことがあります。

攻撃者は、この欠陥を使用して、リモートホストのメモリのコンテンツを連続的に「ポーリング」し、機密情報を入手できることがあります。

Windows のリモートバージョンでは、RPC インターフェースの機能 RemoteActivation() に欠陥が含まれており、これによって攻撃者が、リモートホスト上で SYSTEM 権限で任意のコードを実行できることがあります。

一連のワーム（ブラスター）は、そのままの状態で、この脆弱性を悪用することで知られています。

The registry key HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon\LogonType is set to 1.

このため、ローカルでログインしようとするユーザーに、リモートホストのユーザーのリストを表示する「新しい」WindowsXPログオン画面が表示されます。

レジストリキー HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount は非 null ではありません。つまり、PDC の障害が発生した場合にユーザーが引き続きログインできるように、リモートホストは、ユーザーがログインするときにローカルにユーザーのパスワードをキャッシュします。

W32/Deloder は、組み込まれている管理者パスワードのリストを使用して、リモート共有に接続しようとするワームです。 

Nessus は、これらの認証情報のいずれかを使って、このホストに接続できました。 
ワーム W32/Deloder は、これを使用して、リモートホストに侵入し、リモート共有の感染したデータをアップロードすることがあります。

Yahoo! Windows ホストに、インスタントメッセージングアプリケーションがインストールされています。

リモート Windows ホストに、インスタントメッセージングクライアントである Windows Messenger がインストールされています。

リモート Windows ホストに Trillian がインストールされています。Trillian は Windows 用のインスタントメッセージングクライアントです。

リモートホストに ICQ がインストールされています。ICQ は、Windows 用のインスタントメッセージングクライアントで、ピアツーピアファイル共有機能も備えています。したがって、ビジネス環境での使用には不適切である可能性があります。

リモートホストは、 8.1.0 以上のバージョンのGupta SQLBaseサーバーを実行しています。

「実行」コマンドのエラーにより、パラメーターとして700文字以上を指定することで、バッファオーバーフローが引き起こされる可能性があります。リモートの認証された攻撃者がこの欠陥を悪用して、影響を受けるサービスをクラッシュさせたり、SYSTEM権限を使用して任意のコードを実行したりする可能性があります。

Nessus は、次のレジストリキーを読み取ることで Windows XP システムのサービスパックバージョンを特定することができました。

HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\CSDVersion

リモートサービスは、ネットワークのノード間でファイル、プリンターなどに共有アクセスを提供するために用いられる CIFS（共通インターネットファイルシステム）またはサーバーメッセージブロック（SMB）のプロトコルを理解します。

LsaQueryInformationPolicy() への呼び出しをエミュレートすることで、ホスト SID (セキュリティ識別子) を取得できました。

ホスト SID を使って、ローカルユーザーのリストを取得できます。

Nessusはポート 139 または 445 に認証リクエストを送信することで、リモートオペレーティングシステムの名前とバージョン（WindowsやSamba）を取得できます。このプラグインはSMBをホストで有効にする必要があります。

COM+ インターネットサービスは、HTTP トンネリング上の RPC であり、動作するには IIS が必要です。CIS ポートは、インターネット上で表示されず、ファイアウォールの背後にあるだけの、必要があります。

ポートマッパー（TCP 135 または epmapper PIPE）へルックアップリクエストを送信することで、リモートポートで実行される分散コンピューティング環境（DCE）サービスを列挙できました。この情報を使用して、リモートポート/パイプに RPC リクエストを送信して、各サービスに接続してバインドすることができます。

レジストリキー HKLM\\SOFTWARE\\Microsoft\\Windows
NT\\CurrentVersion\\CSDVersion を読み取ることで、リモート Windows 2000 システムのサービスパックのバージョンを確認できました。

このプラグインは、SvcOpenSCManager() および SvcEnumServices() の呼び出しを実装しており、SMB プロトコルを使って、リモートホストのアクティブおよび非アクティブのサービスのリストを取得します。

攻撃者は、この機能を使って、リモートホストについてより深い知識を取得することがあります。

完全な管理者権限が必要なため、Nessus は、リモートレジストリに完全にアクセスしませんでした。

慎重な扱いが必要なレジストリキーすべての許可/値​​を確認する場合、管理者のログイン名とパスワードを使って、ポリシーの「Windows 資格情報」セクションで「SMB ログイン」オプションを完了することをお勧めします。

リモートホストは、プライマリドメインコントローラーまたはバックアップドメインコントローラーであるように思われます。

これは、「HKLM\SYSTEM\CurrentControlSet\Control\ProductOptions」にあるレジストリキー「ProductType」の値で確認できます。

Nessus は、次のレジストリキーを読み取ることで Windows NT システムのサービスパックバージョンを特定することができました。

HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\CSDVersion

Windows ローカルチェック（SMB テスト）で使用するログイン/パスワードの組み合わせを使用して、リモート Windows レジストリにアクセスできました。

LsaQueryInformationPolicy() への呼び出しをエミュレートすることで、ドメイン SID（セキュリティ識別子）を取得できました。

すると、ドメイン SID を使って、ドメインのユーザーのリストを取得できます

LANMAN パイプにリクエストを送信することで、リモート Windows システムのブラウズリストを取得できました。ブラウズリストは、リモートホストの一番近い Windows システムのリストです。

リモートには、所定の認証情報を使ってネットワークからアクセスできる、1つ以上のWindows共有があります。

共有権限に応じて、攻撃者はこれによって、機密データの読み取り/書き込みをできる可能性があります。

リモートホストに接続することで、Nessus は、ネットワーク共有名を列挙できました。

リモートホストは、Microsoft Windows オペレーティングシステム、または Samba、Unix 用 CIFS/SMB サーバーを実行しています。以下のアカウントのいずれかを使用してログインすることが可能でした。

- ゲストアカウント
- 提供された認証情報

リモートホストは、UDPポート137またはTCPポート445でリッスンし、NetBIOS nbtscanまたはSMBリクエストに応答します。

このプラグインは他のプラグインで使用する情報を収集しますが、それ自体はレポートを生成しないことに注意してください。

ID	名前	深刻度
11890	MS03-043：Messenger サービスのバッファオーバーラン（828035）（uncredentialed check）	critical
11882	AOL Instant Messenger (AIM) ソフトウェアの検出 (認証情報による確認)	info
11835	MS03-039：Microsoft RPC インターフェースバッファオーバーラン（824146）（uncredentialed check）	critical
11830	MS03-034：NetBIOS の欠陥により、情報漏洩（824105）（uncredentialed check）が発生することがあります	medium
11808	MS03-026：Microsoft RPC インターフェースのバッファオーバーラン（823980）（uncredentialed check）	critical
11460	Microsoft Windows SMB リポジトリ：クラシックログオン画面	low
11457	Microsoft Windows SMB レジストリ：Winlogon のキャッシュされたパスワードの弱点	info
11454	Microsoft Windows 管理者のデフォルトパスワードの検出（W32/Deloder ワーム感染性）	critical
11432	Yahoo! Messenger の検出	info
11429	Microsoft Windows Messenger の検出	info
11428	Trillian の検出	info
11425	ICQ の検出	info
11363	Gupta SQLBase実行コマンドのリモートオーバーフロー	high
11119	Microsoft Windows SMB リポジトリ：XP サービスパックの検出	info
11011	Microsoft Windows SMB サービスの検出	info
10859	Microsoft Windows SMB LsaQueryInformationPolicy 関数 SID の列挙	info
10785	Microsoft Windows SMB NativeLanManager リモートシステム情報の漏洩	info
10761	COM+ インターネットサービス（CIS）サーバーの検出	info
10736	DCE サービスの列挙	info
10531	Microsoft Windows SMB レジストリ：Windows 2000 サービスパックの検出	info
10456	Microsoft Windows SMB サービスの列挙	info
10428	Microsoft Windows SMB レジストリに完全にはアクセスできないことの検出	info
10413	Microsoft Windows SMB リポジトリ：リモート PDC/BDC 検出	info
10401	Microsoft Windows SMB リポジトリ：NT4 サービスパックバージョンの検出	info
10400	Microsoft Windows SMB レジストリにリモートアクセス可能	info
10398	Microsoft Windows SMB LsaQueryInformationPolicy 機能 NULL セッションドメイン SID の列挙	info
10397	Microsoft Windows SMB LanMan パイプサーバーリスト表示の漏洩	info
10396	Microsoft Windows SMBがアクセスを共有	info
10395	Microsoft Windows SMB が列挙を共有	info
10394	Microsoft Windows SMB ログイン可能	info
10150	Windows NetBIOS / SMB リモートホストの情報漏洩	info

検出

Nessus の Windows ファミリー

critical

info

critical

medium

critical

low

info

critical

info

info

info

info

high

info

info

info

info

info

info

info

info

info

info

info

info

info

info

info

info

info

info