Microsoft、IIS 6.0の脆弱性指摘を否定
セキュリティ関連のメーリングリストで、IIS 6.0にDoS攻撃の誘発などにつながる脆弱性が存在するとの指摘。Microsoftは調査の結果、これを否定した。
Microsoftは5月24日、IIS 6.0に存在する可能性があるとされた脆弱性の調査を終了した。ある研究者は、この脆弱性が悪用されればDoS攻撃が誘発されるほか、「確実に」攻撃者によるCOM1などの特定のDOSデバイスへのアクセスを許すと指摘していた。
だが、この指摘は間違っている。公にされたコンセプト実証コードは、IIS 6.0の脆弱性を突くものと主張されていたが、実際にはIIS 6.0ではなくASP.NETを利用していた。
BugTraqメーリングリストへの投稿者は、この脆弱性が悪用されれば、PCの1番目のシリアルポートであるCOM1に接続されたデバイスからのデータの読み取りを可能にすると主張していた。「3APA3A」というハンドルネームを持つこの投稿者によると、同時に他のアプリケーションからこのポートへのアクセスも妨げられるという。というのも、このポートへのアクセスは排他的だからだ。
IIS 6.0は、Windows Server 2003向けに出荷されているInternet Information Services Serverの現行バージョン。Windows VistaにはIIS 7.0が、Windows XP Professional向けにはIIS 5.1がそれぞれ提供されている。
この潜在的な脆弱性は当初、Kingcopeというハンドルネームを持つメンバーによってBugTraqに投稿された。Kingcopeはメールの中で、特別なパッチが必要なIIS 6.0の小さなバグを発見したと述べていた。
「サーバに/AUX/.aspxをリクエストすると、レスポンスが返ってくるまでにいつもより少しだけ時間がかかった。そこで、何度か同時にこのファイルをリクエストすると何が起こるかを見極めるため、自動化されたスクリプトを書いてみた。この結果、インターネット上のサーバの中には非常に不安定になったものもあれば、そうでないものもあった。中には、私が攻撃を止めた後でも、『Server is too busy』『Unhandled Exception on the wwwroot (/) path』といった例外が返ってきた」とKingcopeは記していた。
3APA3Aも、疑わしい脆弱性について報告していた。この脆弱性が悪用されれば、「ローカルで認証されていないアクセスや権限の昇格につながり、コンソールへのアクセスがなくとも、Webアプリケーションのパーミッションだけで、(シリアルケーブル経由で)COMポートから与えられた.aspxスクリプトを実行してしまう恐れがある」という。
Microsoftの広報担当者によると、問題のコードは実際にはASP.NETを利用している。しかも、しかも古いシステムが軽微な影響を受けるだけという。
この担当者は電子メールの中で「われわれの調査結果により、このコードはASP.NET 2.0が動作しているシステムには何ら影響がないことが判明した。ASP.NET 1.1が稼働しているシステムでは、このコードを含む大きなサイズのリクエストを同時に受け取った場合、一時的な停止はあるかもしれない。しかしながら、リクエストがサブミットさなくなればすぐに、システムは通常運用に戻る」と述べている。
IISの以前のバージョンは、脆弱性の面ではかなりの責任があった。2001年には、IISの.idaの脆弱性を悪用するCode Redワームが、7月だけで30万以上に感染した(Microsoftが1カ月以上前にパッチを出荷していたにもかかわらず)。
これに対しIIS 6.0はかなり改善されている。2003年から2007年の間に発見された脆弱性はたったの3つで、いずれもクリティカルなものとは判断されなかったし、問題が解決されてから公表された。要するにMicrosoftは、IIS 4.0や5.0に存在していた多くの脆弱性の原因を、6.0になった際に解決したのだ。
バージョン6.0では、サーバはロックダウンモードでインストールされ、攻撃の経路を限定している。
「インストール時には、IIS 6.0ではWorld Wide Web Publishing Service(WWWサービス)だけがインストールされ、スタティックなWebページだけを取り扱うようロックダウンされている。デフォルトでは、ASP、ASP.NET、CGIスクリプティング、FrontPage 2002 Server Extensions from Microsoft、およびWeb Distributed Authoring and Versioning(WebDAV)などを含むIIS上のあらゆる機能がオフになっている」(同社)
Microsoftは同時に、TechNetのWebサイト上で「このロックダウン状態によって、侵入者が利用可能な攻撃経路を最小化する。攻撃者はしばしば、標的となるコンピュータ上で、実際には使われていないにもかかわらず稼働しているサービスを攻撃してくる。この手の攻撃は、利用されていないサービスを向こうにするのを管理者が忘れていたり、細心のホットフィックスやサービスパック、セキュリティアップデートのメンテナンスを忘れたときに起こり得る。時間が経てば、サービスは攻撃者に対し次第に脆弱になっていく」と記している。
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- 「SAPのUXをガラッと変える」 AIアシスタントJouleの全体像とは?
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 検出回避を狙う攻撃者の動きは加速、防御者がやるべきことは Mandiantが調査を公開
ITmediaはアイティメディア株式会社の登録商標です。