11月24日,マイクロソフトはInternet Information Server 4.0およびInternet Information Service 5.0(IIS 4.0/5.0)の新たなセキュリティ・ホールを公表した。すでに公表されている「『Web サーバーによるファイル要求の解析』のぜい弱性」に派生するセキュリティ・ホールである([関連記事])。11月6日に公表されたセキュリティ・ホールと同様に,URLとして,ある特定のリクエストを送られると,サーバー上で任意のOSコマンドを実行される恐れがある。以前公開されたパッチや最新のサービス・パック(SP)を適用していても,このセキュリティ・ホールの影響を受ける。11月24日現在,英語版/中国語版用のパッチは公開されているが,日本語版はまだである。対策としては,攻撃に使われる「.bat」および「.cmd」ファイルを,Webサーバーの公開用フォルダから移動したり,アクセス権限を変更して,リモート・ユーザーが実行できないようにする必要がある。
「『Web サーバーによるファイル要求の解析』のぜい弱性」問題は,なかなか解決しない。まず米国時間11月6日,米MicrosoftはIIS 5.0だけが影響を受けるとして,セキュリティ・ホール情報を公表し,同時にパッチを公開した。ところが,米国時間11月10日には,SP6aを適用していないIIS 4.0も影響を受けることを発表した([関連記事])。そして,米Microsoftは米国時間11月21日,マイクロソフトは11月24日に,同じぜい弱性から派生した,新たな2種類のセキュリティ・ホールを発表した。
攻撃方法の概要と,攻撃により受ける被害は,11月6日に公表されたセキュリティ・ホールの場合と同じである。サーバー上に存在するファイル名と,OSコマンド名を,ある特定の書式で組み合わせて,IISに要求すると,コマンド部分をそのまま「CMD.EXE」へ渡し,CMD.EXEは,サーバー上でそのコマンドを実行してしまう。そのため,リモート・ユーザーは,ローカルでログインした一般ユーザーと同程度の操作が可能となる。例えば,サーバー上のファイルの削除や変更,任意のファイルのアップロードと実行,ハード・ディスクのフォーマットなどが可能となる。
この攻撃で使用されるのは,拡張子が「.bat」および「.cmd」のファイルである。そのため,これらのファイルを公開用フォルダ(例えば「InetPub」)から移動したり,アクセス権限を変更するなどして,リモート・ユーザーがアクセスや実行をできないようにすれば,攻撃を防げる。マイクロソフトの情報によれば,多くのサード・パーティ製のWebサーバー用ソフトウエアには,デフォルトでバッチ・ファイル(.bat)をインストールするという。管理者は早急にチェックする必要がある。
また,リモート・ユーザーがCMD.EXEにアクセスできないようにすることでも,攻撃を防げる。具体的には,IISにアクセスしたユーザーに割り当てられる「IUSER_マシン名」アカウントが属するグループ(例えば「Guests」)が,CMD.EXEにアクセスできないように,ファイルのアクセス権を設定する。
英語版用および中国版用のパッチは公開されているが,日本語版用はまだである。そのため,攻撃を避けるには,上記の方法をとる以外にない。最初のセキュリティ・ホールについては,日本語版用やドイツ語版用のパッチも同時公開されたが,今回は対応が遅れている。一刻も早く,日本語版用パッチを公開するとともに,「『Web サーバーによるファイル要求の解析』のぜい弱性」問題を解決してほしい。
[関連記事:IIS 5.0に深刻なセキュリティ・ホールが再び発覚]
![Word 最速時短術 [増補新版]](https://info.nikkeibp.co.jp/atclnxt/books/25/03/07/00396/B_9784296207329.jpg)
