『IIS』の旧版に未対応の脆弱性見つかる

Microsoft は18日、同社の Web サーバー製品『Internet Information Services』(IIS) に関連するセキュリティ勧告を出し、『IIS 5.0』『IIS 5.1』『IIS 6.0』において、特定の HTTP リクエスト処理に脆弱性が存在し、深刻な攻撃に晒される恐れがあると警告を発した。

また、米国土安全保障省のコンピュータ セキュリティ対策機関 US-CERT は、該当の脆弱性を突く概念実証コードがすでに Web 上に出回っていると明らかにした。実際の攻撃は発生していないものの、攻撃に流用可能なコードがすでに存在する以上、該当の脆弱性はゼロデイ攻撃を招きかねない存在だということになる。

ただし Microsoft はセキュリティ勧告のなかで、初期設定の都合上サーバーの多くが危険な状態にならないため、問題はさほど深刻ではないと指摘している。

問題の脆弱性は、IIS における WebDAV の処理に存在する。WebDAV とは HTTP の拡張セットで、Web サーバー上のファイル操作を遠隔的に行なうものだ。US-CERT の説明によれば、「Microsoft の IIS における実装方法では、WebDAV リクエストでユニコードを処理する際に、認証をくぐり抜ける可能性がある」という。

Microsoft のセキュリティ勧告では、システム上に「anonymous」ユーザーのアカウントを設けているサイトが危険だとしている。しかし、初期設定でこの種のアカウントは今回の脆弱性を全面的に悪用できない設定になっている。これは、悪意のあるユーザーによってサーバーに書き込みができないよう、anonymous アカウントには『Windows』ファイルシステムのアクセス コントロールリスト (ACL) の制限がかかっているためだ。

危険のある状態で、IIS が細工された URL を受け取ると攻撃が成立し、anonymous アカウントで認証を回避できる恐れがある。その場合にも、完全に悪質コードの制御下に入ってしまうサーバーは多くないだろうが、攻撃者はサーバー上のファイルを読み出す可能性がある。

Microsoft の勧告によれば、該当の脆弱性についてどう修正するか決まっていないという。なお、最新版の『IIS 7』には同様の脆弱性が存在しない。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール