解消されないIISのセキュリティ・ホール

新種のアタック方法が発見

山下眞一郎

2000.11.29

　Internet Information Server/Service（IIS）の深刻なセキュリティ・ホール「Webサーバーによるファイル要求の解析」に，またもや新しい情報が追加された。新種のアタック方法の発見である。最近のコラムで何度もフォローしているが，問題はなかなか解消されない。従来のパッチやサービス・パックの適用では対応できないため，注意が必要だ。

日本語版用パッチは未リリース
対策は.batと.cmdファイルの削除/移動

　「Webサーバーによるファイル要求の解析」とは，悪意のあるユーザーに，Webサーバー上で任意のオペレーティング・システムのコマンドを実行される恐れがあるセキュリティ・ホールである。その対策レポートに，新種のアタックについての説明が加えられ，11月24日にアップデートされた（[関連記事]）。

　過去に発見されたぜい弱性は，IIS 5.0の場合は対応パッチを適用し，IIS 4.0の場合はWindows NT 4.0 Service Pack 6aを適用すれば回避できた。しかし，今回発見されたぜい弱性は，サービス・パックやパッチの適用状況に関係なく，IIS 4.0とIIS 5.0の両方に影響を与える。新たな英語版用のパッチはリリースされたが，日本語版はまだである。

　詳細はレポートを確認すれば分かるのだが，ターゲットとなるシステムに，「.bat」か「.cmd」ファイルが存在し，悪意のあるユーザーがその実行権を持つ場合に，攻撃が可能となるようだ。日本語版パッチが公開されるまでは，不必要な「.bat」および「.cmd」ファイルは削除し，必要なファイルは，URLでアクセス可能な仮想ディレクトリから移動させる必要がある。

　また，可能であれば，ゲスト・グループの「CMD.exe」へのアクセス権を外した方が良いだろう。

新規のセキュリティ・ホール情報は2件

　次に，上記以外の，最近のWindows関連のセキュリティ・トピックス（11月24日時点）を整理する。

　「Microsoft Security Bulletin」にて，Windows Media Playerのバージョン6.4と7が影響を受ける「".ASX Buffer Overrun" and ".WMS Script Execution"」問題が公開された。「.ASXファイルのバッファ・オーバーラン」および「.WMSファイルのスクリプト実行」という，Windows Media Playerに関する，2つの異なるセキュリティ・ホールが対象である（[関連記事]）。

　Windows Media Playerがサポートする「Active Stream Redirector (.ASX)」ファイルの処理部に，バッファのチェック漏れがある。そのため，悪意のあるユーザーが，そのセキュリティ・ホールを突くような.ASXファイルを，他のユーザーに送りつけたり，Webサイトに仕掛けることにより，他のパソコン上で任意のコードを実行させることが可能となる。

　また，Windows Media Player 7は，そのインタフェースを変更できる「スキン」と呼ばれる機能を搭載している。その機能を実現するカスタム・スキン (.WMS) ファイルはスクリプトを含んでいて，リモートのパソコン上で実行させることが可能である。

　そのため，悪意のあるユーザーが，セキュリティ・ホールを突いた.WMSファイルを，メールで送りつけたり，Webサイトに仕掛けることにより，ターゲットとしたパソコン上で，様々なスクリプトを実行させることができる。このとき，"safe for scripting"とマークが付いていないActive Xコントロールも勝手に実行することが可能であり，Active Xコントロールができることは，すべて実行できてしまう。

　「.ASXファイルのバッファ・オーバーラン」のセキュリティ・ホールは，Windows Media Player の6.4と7の両方が対象であるが，「.WMSファイルのスクリプト実行」はWindows Media Player 7のみが対象である。英語版用のパッチはリリースされたが，日本語版はまだである。

　「マイクロソフトセキュリティ情報」では，Service Pack 1を適用したWindows 2000ファミリーが影響を受ける「ドメインアカウントロックアウト」のぜい弱性に対する対策が公開された。ドメイン管理者がドメイン・アカウント・ロックアウト・ポリシーを設定しても，ある条件がそろった場合には，悪意のあるユーザーがアカウントやパスワードを何度もトライ可能であるというセキュリティ・ホールだ。そのため，例えば，パスワードを総当りで試す「ブルート・フォース・アタック」を受ける可能性がある。英語版用のパッチはリリースされたが，日本語版はまだである。

　しかし，レポートにも記載されている通り，このセキュリティ・ホールが成立するには複数の条件が必要であり，ドメイン構成を組んでいることが，その大前提である。通常，外部からリーチ可能なバリア・セグメント上では，ドメイン構成を組まないということがセキュリティ上のセオリーであるため，今回のセキュリティ・ホールでは，外部から影響を受けるケースは少ないであろう。

日本語版レポート新規1件，アップデートが1件

　「Microsoft Security Bulletin」のレポートが，1件日本語化され，公開された。「Exchange ユーザーアカウント」のぜい弱性に対する対策の情報だ。残念ながら，日本語版ツールは公開されていない。レポートの記載内容によると日本語版で影響を受けるのは，（1）"Rev A" が印字されていない Exchange 2000の初期出荷版と，（2）評価版および2000年10月のSelect CDに含まれているExchange 2000 ServerとExchange 2000 Enterprise Serverのようである。影響度と回避方法は，過去のコラムでお知らせしている通りだ。

　また，Windows NT 4.0のIIS 4.0用パッチしか公開されていなかった「セッション ID クッキーのマーキング」のぜい弱性に対する対策において，11月20日，ようやく日本語版Windows 2000のIIS 5.0用パッチ情報も追加された。

　しかし，同日，皮肉なことに「Microsoft Security Bulletin」にてオリジナルの英語レポートである「Patch Available for "Session ID Cookie Marking" Vulnerability」もアップデートされ，このIIS 5.0（x86プラットフォーム）用パッチに修正が加えられ再リリースされている。日本語版IIS 5.0用パッチ情報には，引き続き注意をする必要がある。なお，IIS 4.0用パッチについては，Alphaプラットフォーム用は再リリースされたが，x86プラットフォーム用は従来のままで問題ない。

マイクロソフトのIT技術者向けの情報提供サイトがリニューアル

　マイクロソフトが運営するIT技術者向けの情報提供サイト「Microsoft TechNet(テックネット) Online」がリニューアルされた。同サイトは1998年から存在していたが，今回，使い勝手を向上するとともに，掲載情報を充実して，2000年11月から正式にアナウンスされた。

　従来，マイクロソフトのセキュリティ情報の新規公開やアップデート状況は分かりづらかったのだが，今回のリニューアルではトップページのレイアウトやメニュー階層が一新され，情報が見やすくなった。さらに，セキュリティーに関する情報がTechNet Onlineに集約されたので，まとめて入手できるようになった。加えて，トラブル・シューティングやパフォーマンス・アップに関する技術ドキュメントもまとめられている。

　英語版のTechNet Onlineと同様に，充実することが期待される。マイクロソフト自身が提供するセキュリティ情報は，ここを拠点にしてチェックすれば良いだろう。

山下　眞一郎（Shinichiro Yamashita）
株式会社富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部プロジェクト課長
yama@bears.ad.jp

　「今週のSecurity Check [Windows編]」は，IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し，「Winセキュリティ虎の穴」を運営する山下眞一郎氏に，Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。（IT Pro編集部）