MicrosoftのIIS 6に未解決の脆弱性、2016年から攻撃横行
発見者によると、2016年8月の時点でこの脆弱性を突く攻撃が横行していた。しかしWindows Server 2003のサポートは終了しているため、更新プログラムは公開されない見通し。
MicrosoftのInternet Information Services(IIS)6.0に未解決の脆弱性が見つかったとして、中国の研究者がこのほどコンセプト実証コードをGitHubに掲載した。悪用されれば任意のコードを実行される恐れもあるとされ、研究者は2016年8月の時点でこの脆弱性を突く攻撃が横行していたと伝えている。
中国・華南理工大学の研究者がGitHubに掲載した情報によると、Windows Server 2003 R2に搭載されているIIS 6.0のWebDAVサービスに、バッファオーバーフローの脆弱性が存在する。
脆弱性は、PROPFINDリクエストの「If」で始まるヘッダの検証が不適切な問題に起因していて、悪用されれば細工を施したリクエストを使ってリモートの攻撃者に任意のコードを実行される恐れがある。
Microsoftは既に、Windows Server 2003のサポートを2015年7月で打ち切っているため、この脆弱性を修正する更新プログラムは公開されない見通し。しかし報道によれば、Windows Server 2003を使ったWebサーバでホスティングされているWebサイトは今も大量に存在する。
Trend Microは3月29日のブログで、3月27日に公開されたコンセプト実証コードを使って、他の攻撃者も悪用コードを作成する段階に入っていると指摘。対策として、IIS 6.0のWebDAVサービスを無効にするよう促している。
関連記事
- Windows Server 2003の機能を悪用する攻撃、初の確認
Windows Server 2003で更新プログラムのインストールに使われていた「ホットパッチ」機能を悪用したサイバースパイ攻撃が初めて確認された。 - Windowsへの攻撃コードが公開、「パッチ適用を急いで」とIPA
「HTTP.sys」の脆弱性を悪用する実証コードが公開され、攻撃発生の可能性が高まった。IPAなどが修正パッチの迅速な適用を呼び掛けた。 - Windows Server 2003のサポート終了、「これから移行」を失敗しない方法は?
2015年7月15日にWindows Server 2003/2003 R2のサポートが終了する。企業にとってはWindows XPのサポート終了よりも深刻な事態だ。今回はサポート終了にどう対処すべきか解説しよう。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.