ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

MicrosoftのIIS 6に未解決の脆弱性、2016年から攻撃横行

» 2017年03月31日 09時15分 公開
[鈴木聖子ITmedia]
photo IIS 6.0の脆弱性について、中国の研究者がコンセプト実証コードをGitHubに掲載した

 MicrosoftのInternet Information Services(IIS)6.0に未解決の脆弱性が見つかったとして、中国の研究者がこのほどコンセプト実証コードをGitHubに掲載した。悪用されれば任意のコードを実行される恐れもあるとされ、研究者は2016年8月の時点でこの脆弱性を突く攻撃が横行していたと伝えている。

 中国・華南理工大学の研究者がGitHubに掲載した情報によると、Windows Server 2003 R2に搭載されているIIS 6.0のWebDAVサービスに、バッファオーバーフローの脆弱性が存在する。

 脆弱性は、PROPFINDリクエストの「If」で始まるヘッダの検証が不適切な問題に起因していて、悪用されれば細工を施したリクエストを使ってリモートの攻撃者に任意のコードを実行される恐れがある。

 Microsoftは既に、Windows Server 2003のサポートを2015年7月で打ち切っているため、この脆弱性を修正する更新プログラムは公開されない見通し。しかし報道によれば、Windows Server 2003を使ったWebサーバでホスティングされているWebサイトは今も大量に存在する。

 Trend Microは3月29日のブログで、3月27日に公開されたコンセプト実証コードを使って、他の攻撃者も悪用コードを作成する段階に入っていると指摘。対策として、IIS 6.0のWebDAVサービスを無効にするよう促している。

photo Trend Microのブログ

Copyright © ITmedia, Inc. All Rights Reserved.