米SANS Instituteなどは現地時間12月19日,Windows XP Professionalに含まれるWebサーバー・ソフト「Internet Information Services(IIS)5.1」にDoS(サービス妨害)攻撃を受けるセキュリティ・ホールが見つかったことを明らかにした。細工が施されたHTTPリクエストを送信されると,IIS 5.1が不正終了する。そのようなリクエストを送信するためのプログラムもネットで公開されている。修正パッチは未公表。対策は,HTTPリクエストのフィルタリングなど。
今回のセキュリティ・ホールが確認されているのは,Windows XPのIIS 5.1のみ。今まで公開されたパッチをすべて適用したWindows XP SP2のIIS 5.1でも影響を受けることが確認されている。Windows 2000のIIS 5.0やWindows Server 2003のIIS 6.0には今回のセキュリティ・ホールは存在しない。
今回のセキュリティ・ホールは,特定のフォルダ名ならびに文字列を含むHTTPリクエストを送信されると,IIS 5.1が不正終了してしまうというもの。インターネット上で公開されているIISサーバーに対しては,リモートから誰でも攻撃が可能である。不正終了したIISは自動的にリスタートする。
セキュリティ・ホールの詳細だけではなく,IIS 5.1を不正終了させるリクエストを送信するプログラム(Exploit)のソースコードも複数のWebサイトで公表されている。
ただし,IIS 5.1はデフォルトではインストールされていない。IIS 5.1を稼働させるには,コントロールパネルなどからユーザーが明示的にインストールおよび設定する必要がある。
今回のセキュリティ・ホールに関する情報や修正パッチは,米Microsoftからは公表されていない。デンマークSecuniaでは,HTTPプロキシなどで不正なリクエストをフィルタリングすることを対策として挙げている。
なお,今回のセキュリティ・ホールを悪用されても,IISサーバー上で任意のプログラムを実行されるようなことはない。DoS攻撃を受けるだけである。DoS攻撃を受けると困るようなWebサーバーでIIS 5.1を使っている場合には,別のWebサーバー・ソフトを利用することを検討したい。
◎参考資料
◆IIS 5.1 DoS exploit released(米SANS Institute)
◆Microsoft IIS Malformed URL Potential Denial of Service Vulnerability(デンマークSecunia)
