Internet Information Server/Service(IIS)のHTR機能に起因する,新しいセキュリティ・ホールが公開された。パッチが既に公開されているが,IISの設定によっても回避可能である。これを機に,マイクロソフトが公開している「セキュリティ チェックリスト」で,IISの設定を再点検しよう。

 これ以外に,新規に公開されたセキュリティ・ホールは2件。ただし,いずれも影響は小さいと考えられる。また,「サポート技術情報」では,注目すべき情報が公開された。以前から話題になっている「クロスサイト スクリプティング攻撃」の詳細と予防方法をまとめたものだ。一読することをお勧めする。

ASPファイルなどのソースを読み取られる恐れあり

 IIS 4.0および5.0が影響を受ける「『.HTR 経由のファイル フラグメントの読み取り』の新種のぜい弱性に対する対策」が公開された。HTRとは,IIS 2.0の一部として出荷されている第一世代のスクリプト技術であり,IISを介してWindows NTにパスワード・サービスを供給する仕組みもHTRを利用して実現している。Windows NTユーザーは,.HTRスクリプトを使用して,自分のパスワードを変更できる。

 このセキュリティ・ホールを悪用されると,特定の条件下で,ASP(Active Server Pages)ファイルのようなサーバー側で処理するファイルのソース・コードを読み取られる恐れがある。

 Webサイトの閲覧者が,ASPファイルをリクエストすると,WebサーバーはASPファイル内のスクリプトを処理する。そして,ソース・コードではなく,その結果を閲覧者に送信する。ところが,今回のセキュリティ・ホールを突かれると,ソース・コードの一部を送信する可能性がある。そのため,ソース・コードに重要な情報が含まれている場合には,悪意がある閲覧者にその情報を読み取られ,クラッキングなどに利用される危険性がある。

 ただし,Webサーバー上のファイルを削除されたり,アクセス権がないファイルにアクセスされる恐れはない。

 素早いことに,日本語版パッチは日本語化されたレポートと同時に公開されている。このパッチを適用すれば,影響を回避できる。

 また,IISのHTR機能を無効にすることでも,このぜい弱性による影響を避けられる。マイクロソフトでは,どうしても必要な場合以外は,HTR機能を無効にしておくことを推奨している。HTR機能を無効にするには,「(MS01-004) : よく寄せられる質問(FAQ)」の記載を参考にして,IISの「Internet Service Manager」で,.HTRファイルのマッピングを削除するだけでよい。

何度も発見される,HTRがらみのセキュリティ・ホール

 HTR機能関連のセキュリティ・ホールは後を絶たない。今回のセキュリティ・ホールは,既に公開されている「『ディレクトリ ブラウザ引数の不在』ぜい弱性に対する対策」「『区切り文字なしの .HTR リクエスト』 および 『.HTR 経由のファイル フラグメントの読み取り』のぜい弱性に対する対策」で説明されているぜい弱性の新種である。以前に公開されたパッチでは防げない,新しいアタック方法が発生したことに伴って,再度問題となった。

 複数あるHTR関連のセキュリティ・ホールの中で,もっとも深刻だったのは,1999年6月に公開された「Malformed HTR Request(変形させられたHTRリクエスト)」というセキュリティ・ホールである。

 このセキュリティ・ホールは,.HTRファイルを処理する「ISM.DLL」が,バッファ・チェックしていないという不具合が原因であった。ローカル・アカウントを持たなくても,リモートからWebサーバーを落としたり,サーバー内のファイルの変更や削除等が可能であるという,非常に深刻な問題だった。

 通常はあり得ないような,巨大な.HTRファイルをIIS 4.0へ投げて,バッファをあふれさせることが可能であった。その結果,IISはクラッシュしてしまう。復旧には,Windows NTをリブートする必要はないものの,IISを再起動させる必要があった。

 また,古典的なバッファ・オーバーフローのテクニックを使用して,サーバー上で任意のコードに実行させることも可能であった。この事実について,サポート技術情報(KB)の「[IIS] 適切ではない HTTP リクエストで IIS が停止する」には,ひどいことに記載されていない。

 加えて,様々なサイトで,このセキュリティ・ホールを突く,アタック・ツールが公開されていた。中には,簡易Telnetサーバーをリモートから送り込み,攻撃対象のサーバーにリモート・ログインして,ファイルの変更,削除等を自在に行えるようなツールまで存在した。

 このとき,日本語版パッチの公開は遅れた。そのため,設定変更で回避するほかなかった。.HTRファイルをはじめ,バックエンドのデータベースへの検索や更新を可能にする.IDCファイルや,サーバ・サイド・インクルード (SSI) で使用する.STMファイル等のスクリプトのマッピングを削除して,これらを無効化することで回避した。

 使用していないスクリプトのマッピングを削除することは,IISのセキュアな運用には欠かせない。基本中の基本ともいうべき,IISのセキュリティ チェックリストにも,このことは明記されている。今回を契機に再点検しよう。

影響が少ないセキュリティ・ホールが2件

 次に,Windows関連のセキュリティ・トピックス(2001年2月2日時点分)を整理する。「マイクロソフト セキュリティ情報」では,上記以外の新規のセキュリティ・ホール情報が2件公開された。

 まず,Windows 2000 ServerおよびWindows 2000 Advanced Serverが影響を受ける(1)「『無効な RDP データ』のぜい弱性に対する対策」が公開された。これは,Windows 2000 Terminal Service の Remote Data Protocol(RDP)の実装ミスが原因である。悪意のあるユーザーが,サーバーのRDPポートに細工したパケットを送信して,サーバーを異常終了させることができてしまう。

 Windows NT 4.0 Terminal Server Editionは,このセキュリティ・ホールの影響を受けない。また,Windows 2000 ServerおよびWindows 2000 Advanced Serverでも,ターミナル サーバーとして使用されている場合にだけ,影響を受ける。そのため,実質的な影響は小さいであろう。

 なお,日本語版パッチは,日本語化されたレポートと同時に公開されている。

 次に,英語版Microsoft Windows 2000 Professional/Server/Advanced Server が影響を受ける(2)「『英語版修正プログラムの問題』に対する対策」が公開された。これは,特定の状況下で,Windows 2000システムから,いくつかの修正パッチが削除される可能性があるというものだ。英語版Windows 2000 Post Service Pack 1 修正プログラムのカタログ・ファイル作成時のエラーが原因である。このエラーは,2000年12月18日まで存在していた。

 日本語化されたレポートが公開されているが,この問題は英語版だけに影響を及ぼす。日本語版には影響はない。

サポート技術情報では,注目すべき情報が1件

 「マイクロソフト サポート技術情報」では,注目すべき情報が1件公開された。「[ASP] HOWTO: クロスサイト スクリプティングのぜい弱性の問題」である。「クロスサイト スクリプティングのセキュリティ問題」とは,悪意を持って作成されたスクリプトが,あたかも信頼できるサイトからのスクリプトとして,Webブラウザに表示される可能性があるという問題である。これは,動的に生成されるWebページにおいて,その生成に使用される入力データが,入力または出力の途中で検証されていないことに起因している。

 今回公開された情報では,こうしたクロスサイト スクリプティング攻撃を防止する,ASPページの一般的な開発手法を説明している。ASPページを作成するユーザーは,ぜひ一読されたい。



 ■(MS01-004) 「.HTR 経由のファイル フラグメントの読み取り」 の新種のぜい弱性に対する対策(2001年1月30日:日本語解説&パッチ公開)

 ■(MS01-004) :よく寄せられる質問(FAQ)

 ■(MS00-044) 「ディレクトリ ブラウザ引数の不在」ぜい弱性に対する対策(2000年7月18日:日本語解説公開)

 ■(MS00-031) 「区切り文字なしの .HTR リクエスト」 および 「.HTR 経由のファイル フラグメントの読み取り」のぜい弱性に対する対策(2000年5月12日:日本語解説公開)

 ■(MS99-019) Patch Available for "Malformed HTR Request" Vulnerability(1999年6月15日:英語解説公開)

 ■[IIS] 適切ではない HTTP リクエストで IIS が停止する(2000年7月12日:日本語解説最終更新)

 ■Microsoft Internet Information Server 4.0 セキュリティ チェックリスト

 ■Internet Information Services 5 セキュリティのチェックリスト

マイクロソフト セキュリティ情報

 ■(MS01-006) 「無効な RDP データ」 のぜい弱性に対する対策(2001年2月1日:日本語解説&パッチ公開)

 ■(MS01-005) 「英語版修正プログラムの問題」に対する対策(2001年1月31日:日本語解説&日本語版影響なし)

マイクロソフト サポート技術情報

 ■[ASP] HOWTO: クロスサイト スクリプティングのぜい弱性の問題 (2001年1月25日)


山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部 プロジェクト課長
yama@bears.ad.jp


 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)