Microsoft、IIS 6.0の脆弱性指摘を否定
セキュリティ関連のメーリングリストで、IIS 6.0にDoS攻撃の誘発などにつながる脆弱性が存在するとの指摘。Microsoftは調査の結果、これを否定した。
Microsoftは5月24日、IIS 6.0に存在する可能性があるとされた脆弱性の調査を終了した。ある研究者は、この脆弱性が悪用されればDoS攻撃が誘発されるほか、「確実に」攻撃者によるCOM1などの特定のDOSデバイスへのアクセスを許すと指摘していた。
だが、この指摘は間違っている。公にされたコンセプト実証コードは、IIS 6.0の脆弱性を突くものと主張されていたが、実際にはIIS 6.0ではなくASP.NETを利用していた。
BugTraqメーリングリストへの投稿者は、この脆弱性が悪用されれば、PCの1番目のシリアルポートであるCOM1に接続されたデバイスからのデータの読み取りを可能にすると主張していた。「3APA3A」というハンドルネームを持つこの投稿者によると、同時に他のアプリケーションからこのポートへのアクセスも妨げられるという。というのも、このポートへのアクセスは排他的だからだ。
IIS 6.0は、Windows Server 2003向けに出荷されているInternet Information Services Serverの現行バージョン。Windows VistaにはIIS 7.0が、Windows XP Professional向けにはIIS 5.1がそれぞれ提供されている。
この潜在的な脆弱性は当初、Kingcopeというハンドルネームを持つメンバーによってBugTraqに投稿された。Kingcopeはメールの中で、特別なパッチが必要なIIS 6.0の小さなバグを発見したと述べていた。
「サーバに/AUX/.aspxをリクエストすると、レスポンスが返ってくるまでにいつもより少しだけ時間がかかった。そこで、何度か同時にこのファイルをリクエストすると何が起こるかを見極めるため、自動化されたスクリプトを書いてみた。この結果、インターネット上のサーバの中には非常に不安定になったものもあれば、そうでないものもあった。中には、私が攻撃を止めた後でも、『Server is too busy』『Unhandled Exception on the wwwroot (/) path』といった例外が返ってきた」とKingcopeは記していた。
3APA3Aも、疑わしい脆弱性について報告していた。この脆弱性が悪用されれば、「ローカルで認証されていないアクセスや権限の昇格につながり、コンソールへのアクセスがなくとも、Webアプリケーションのパーミッションだけで、(シリアルケーブル経由で)COMポートから与えられた.aspxスクリプトを実行してしまう恐れがある」という。
Microsoftの広報担当者によると、問題のコードは実際にはASP.NETを利用している。しかも、しかも古いシステムが軽微な影響を受けるだけという。
この担当者は電子メールの中で「われわれの調査結果により、このコードはASP.NET 2.0が動作しているシステムには何ら影響がないことが判明した。ASP.NET 1.1が稼働しているシステムでは、このコードを含む大きなサイズのリクエストを同時に受け取った場合、一時的な停止はあるかもしれない。しかしながら、リクエストがサブミットさなくなればすぐに、システムは通常運用に戻る」と述べている。
IISの以前のバージョンは、脆弱性の面ではかなりの責任があった。2001年には、IISの.idaの脆弱性を悪用するCode Redワームが、7月だけで30万以上に感染した(Microsoftが1カ月以上前にパッチを出荷していたにもかかわらず)。
これに対しIIS 6.0はかなり改善されている。2003年から2007年の間に発見された脆弱性はたったの3つで、いずれもクリティカルなものとは判断されなかったし、問題が解決されてから公表された。要するにMicrosoftは、IIS 4.0や5.0に存在していた多くの脆弱性の原因を、6.0になった際に解決したのだ。
バージョン6.0では、サーバはロックダウンモードでインストールされ、攻撃の経路を限定している。
「インストール時には、IIS 6.0ではWorld Wide Web Publishing Service(WWWサービス)だけがインストールされ、スタティックなWebページだけを取り扱うようロックダウンされている。デフォルトでは、ASP、ASP.NET、CGIスクリプティング、FrontPage 2002 Server Extensions from Microsoft、およびWeb Distributed Authoring and Versioning(WebDAV)などを含むIIS上のあらゆる機能がオフになっている」(同社)
Microsoftは同時に、TechNetのWebサイト上で「このロックダウン状態によって、侵入者が利用可能な攻撃経路を最小化する。攻撃者はしばしば、標的となるコンピュータ上で、実際には使われていないにもかかわらず稼働しているサービスを攻撃してくる。この手の攻撃は、利用されていないサービスを向こうにするのを管理者が忘れていたり、細心のホットフィックスやサービスパック、セキュリティアップデートのメンテナンスを忘れたときに起こり得る。時間が経てば、サービスは攻撃者に対し次第に脆弱になっていく」と記している。
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- セールスフォースにも決められない? AIエージェント、「いくらが適正価格か」問題が勃発
- 7-Zipに深刻な脆弱性 旧バージョンは早急なアップデートを
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- Let's Encrypt、証明書有効期間を90日から45日へと短縮 2028年までに
- サイバー戦争は認知空間が主戦場に? 「詐欺被害額が1年で倍増」を招いた裏事情
- 「フリーWi-Fiは使うな」 一見真実に思える“安全神話”はもう時代遅れ
- ソニー、AWSのAI基盤で推論処理300倍増へ ファンエンゲージメントはどう変わる?
- Microsoft 365の値上げが訴訟 Copilotの抱き合わせ販売問題が再燃
ITmediaはアイティメディア株式会社の登録商標です。