IIS 5を脅かすIIS FTPゼロデイ脆弱性 2009年9月3日
IIS 5を脅かすIIS FTPゼロデイ脆弱性
危険度:中
2009年9月3日
【概要】
【詳細】
マイクロソフトのインターネット・インフォメーション・サービス(IIS)は、現在インターネットで一番人気のウェブサーバの1つであり、FTPサーバにも搭載されている。サーバ版のWindowsには全てIISが搭載されているが、デフォルト設定としてスタートしないサービスも中にはある。
マイクロソフトは昨日公開したセキュリティアドバイザリで、IIS 5.xや6.0に搭載されているFTPサービスに見られたバッファ・オーバーフローの問題について説明している(パッチ有り)。この脆弱性は細工されたNLST コマンドが正確にIISを解析できない点に関与している。攻撃者は脆弱なFTPサーバに接続し、そのコマンドを送信することでスタック・オーバーフローを誘発、様々な結果に導くことができる。攻撃者がこの脆弱性をIIS 5.xサーバで利用しコードを実行した場合、そのサーバを完全に操作できるようになる。しかし、IIS 6.0サーバで実行するGS クッキー保護機能は、このスタック・バッファ・オーバーフローの欠陥によるリスクを緩和させることができる。今のところ、この悪用はIIS 6.0サーバのみをクラッシュさせサービス拒否(DoS)の原因になっている。但し、攻撃者がこの欠陥を悪用するには、ユーザのIIS FTPサーバで有効なログイン・クレデンシャルが必要となる。FTPサーバに匿名アクセスを許可していなければ、信用していないユーザがこの欠陥を悪用することはない。
マイクロソフトがこの新しい脆弱性を発見したのは、自称Kingcopeという研究家がこの悪用方法を一般公開したためである。マイクロソフトは、この欠陥に対応するパッチをまだ用意していない。IIS 5.x FTPサーバを管理しており、匿名アクセスを許可している場合は、この一般公開されている悪用方法によるリスクの影響は非常に深刻なものとなるため、次の回避策を至急取り入れることをすすめる(Fireboxも対策になる)。しかし、この欠陥はIIS 6の管理者に対してのみ中等度のリスクを与えているものであり、IIS 7においてのリスクはない。
【対策】
マイクロソフトは、このゼロデイ脆弱性に対応するパッチをまだ公開していないが、入手可能になり次第連絡する。それまでは、マイクロソフトが公開したセキュリティ・アドバイザリの「その他の推奨するアクション」で説明されている回避方法を参考にしたり、次の対策を講じることを強くすすめる。また、正しく設定されているウォッチガードのFireboxを使用することでリスクを緩和させることができる。
マイクロソフトが提案する回避策は次の通り:
【ウォッチガード・ユーザ】
ウォッチガードのFTPサーバ・プロキシ・アクションのデフォルト設定で、この悪用が成功しないように阻止することができる。FTPサーバ・プロキシ・アクションのデフォルト設定では、すべての書き込み(アップロード)アクセス権を拒否するようになっているため、この悪用を成功させるために必要なディレクトリ作成が阻止される。
さらに、FTPサーバで書き込みアクセスを許可している場合でも、FTPサーバ・プロキシ・アクションはFTP SITEコマンドもデフォルト設定で阻止するようになっている。この悪用方法はSITEコマンドが悪質なシェルコードを保管し送ることに依存しているので、SITEコマンドを阻止すれば、攻撃者が欠陥を利用し悪質なコードを実行するリスクをFTPサーバ・プロキシ・アクションで緩和できる。
Gateway Antivirus/Intrusion Prevention Service (GAV/IPS)を購入し、インストールしている場合には、この特定の攻撃を検出し阻止する様々なFTP攻撃シグネチャを備えていることになる。
つまり、正しく設定されているUTMサービスを備えたFireboxは保護層が厚いため、攻撃者がこのゼロデイ欠陥を悪用することを阻止できるのである。
【ステータス】
マイクロソフトはこの問題のパッチをまだ公開していないが修正パッチが公開され次第、連絡する。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
危険度:中
2009年9月3日
【概要】
- 対象:
IIS 5.x /6.0 - 攻撃方法:
細工したFTPコマンドを送信 - 影響:
最悪の場合、攻撃者はユーザのIISサーバを完全に操作できるようになる - 対策:
この記事の「対策」で説明している回避策を講じること
【詳細】
マイクロソフトのインターネット・インフォメーション・サービス(IIS)は、現在インターネットで一番人気のウェブサーバの1つであり、FTPサーバにも搭載されている。サーバ版のWindowsには全てIISが搭載されているが、デフォルト設定としてスタートしないサービスも中にはある。
マイクロソフトは昨日公開したセキュリティアドバイザリで、IIS 5.xや6.0に搭載されているFTPサービスに見られたバッファ・オーバーフローの問題について説明している(パッチ有り)。この脆弱性は細工されたNLST コマンドが正確にIISを解析できない点に関与している。攻撃者は脆弱なFTPサーバに接続し、そのコマンドを送信することでスタック・オーバーフローを誘発、様々な結果に導くことができる。攻撃者がこの脆弱性をIIS 5.xサーバで利用しコードを実行した場合、そのサーバを完全に操作できるようになる。しかし、IIS 6.0サーバで実行するGS クッキー保護機能は、このスタック・バッファ・オーバーフローの欠陥によるリスクを緩和させることができる。今のところ、この悪用はIIS 6.0サーバのみをクラッシュさせサービス拒否(DoS)の原因になっている。但し、攻撃者がこの欠陥を悪用するには、ユーザのIIS FTPサーバで有効なログイン・クレデンシャルが必要となる。FTPサーバに匿名アクセスを許可していなければ、信用していないユーザがこの欠陥を悪用することはない。
マイクロソフトがこの新しい脆弱性を発見したのは、自称Kingcopeという研究家がこの悪用方法を一般公開したためである。マイクロソフトは、この欠陥に対応するパッチをまだ用意していない。IIS 5.x FTPサーバを管理しており、匿名アクセスを許可している場合は、この一般公開されている悪用方法によるリスクの影響は非常に深刻なものとなるため、次の回避策を至急取り入れることをすすめる(Fireboxも対策になる)。しかし、この欠陥はIIS 6の管理者に対してのみ中等度のリスクを与えているものであり、IIS 7においてのリスクはない。
【対策】
マイクロソフトは、このゼロデイ脆弱性に対応するパッチをまだ公開していないが、入手可能になり次第連絡する。それまでは、マイクロソフトが公開したセキュリティ・アドバイザリの「その他の推奨するアクション」で説明されている回避方法を参考にしたり、次の対策を講じることを強くすすめる。また、正しく設定されているウォッチガードのFireboxを使用することでリスクを緩和させることができる。
マイクロソフトが提案する回避策は次の通り:
- FTP匿名アクセスを無効にすること
信頼していないユーザがFTPサーバの欠陥を悪用できなくなる。
- FTP書き込みアクセスを無効にすること
攻撃者がこの悪用方法を実行するには、ユーザのFTPサーバにディレクトリを作成しなければならないが、書き込みアクセスを無効にすれば攻撃は失敗に終わる。また、ディレクトリ作成の権限も無効にしておく方法もある。
- FTPサービスを無効にすること
FTPサービスを使用しない場合は勿論Windowsでスタートさせないこと。
【ウォッチガード・ユーザ】
ウォッチガードのFTPサーバ・プロキシ・アクションのデフォルト設定で、この悪用が成功しないように阻止することができる。FTPサーバ・プロキシ・アクションのデフォルト設定では、すべての書き込み(アップロード)アクセス権を拒否するようになっているため、この悪用を成功させるために必要なディレクトリ作成が阻止される。
さらに、FTPサーバで書き込みアクセスを許可している場合でも、FTPサーバ・プロキシ・アクションはFTP SITEコマンドもデフォルト設定で阻止するようになっている。この悪用方法はSITEコマンドが悪質なシェルコードを保管し送ることに依存しているので、SITEコマンドを阻止すれば、攻撃者が欠陥を利用し悪質なコードを実行するリスクをFTPサーバ・プロキシ・アクションで緩和できる。
Gateway Antivirus/Intrusion Prevention Service (GAV/IPS)を購入し、インストールしている場合には、この特定の攻撃を検出し阻止する様々なFTP攻撃シグネチャを備えていることになる。
つまり、正しく設定されているUTMサービスを備えたFireboxは保護層が厚いため、攻撃者がこのゼロデイ欠陥を悪用することを阻止できるのである。
【ステータス】
マイクロソフトはこの問題のパッチをまだ公開していないが修正パッチが公開され次第、連絡する。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。