IIS 5.0の深刻なセキュリティ・ホールを解説する

ファイアウオールをすり抜けて，Webサーバーを乗っ取り可能

山下眞一郎

2001.05.09

　マイクロソフトは5月2日，Windows 2000のInternet Information Services 5.0（IIS 5.0）の深刻なセキュリティ・ホールを警告した。バッファ・オーバーラン（「バッファ・オーバーフロー」とも呼ばれる）を悪用して任意のコードをIISサーバー上で実行できてしまう。そのため，ファイルや Web ページの追加，変更，削除等が可能となる（[関連記事]）。

　このセキュリティ・ホールは，通常のHTTP（ポート80）または HTTPS（ポート443）リクエストによってアタック可能なため，Webページ公開を目的としたサーバーの場合にはファイアウオールなどはまったく役にたたない。管理者はパッチを適用して早急に対処する必要がある。

マイクロソフトも素早く対応

　今回公開されたセキュリティ・ホールは，その影響度からいえば，2000年の年末に大問題となり，2001年2月の日本での大規模なWebページ改ざん事件でも悪用された「(MS00-086)『Web サーバーによるファイル要求の解析』のぜい弱性に対する対策」に匹敵する。

　マイクロソフトもその深刻さを認識している。いつもは英語情報と時間差がある日本語情報であるが，今回はほぼ同時に同社Webサイトで公開された。英語情報の「Microsoft Security Bulletin」で米国時間5月1日に公開されたのに続いて，日本語の「マイクロソフトセキュリティ情報」では5月2日に公開された。情報だけではなく，Windows 2000 Server および Advanced Server用の日本語版パッチも公開するという最優先の対応ぶりだった。

原因はIPPの実装ミス

　今回のセキュリティ・ホールは Internet Printing Protocol (IPP) の実装ミスが原因である。IPPとは，HTTP 経由で印刷ジョブの送信と制御を行うための業界標準プロトコルであり，Windows 2000 はネイティブでサポートしている。IPPは，ISAPI（Internet Server Application Programming Interface）エクステンションを使って実装されており，Windows 2000 Server/Advanced Server/Datacenter Server といったすべてのWindows 2000 サーバーにデフォルトでインストールされている。

　そのISAPIエクステンションの入力パラメータを処理するコードのある部分に，未チェックのバッファが含まれるために今回のセキュリティ・ホールが生じた。このセキュリティ・ホールを悪用すれば，リモートからバッファ・オーバーラン攻撃を仕掛けて，サーバー上で任意のコードを実行できてしまう。

　なお，Windows NT 4.0 の IIS 4.0 は影響を受けない。また，Windows 2000であっても「Internet Information Services 5 セキュリティのチェックリスト」の「未使用のスクリプトマッピングを削除する」の項に記載されている通りに，「インターネット印刷（ISAPI エクステンション）」である「.printer」へのマッピングを削除していれば影響を受けない ^*1。事前に予防措置を施すことの重要性を改めて証明したといえる。

*1：グループポリシーで「インターネット印刷」が有効になっている場合には，削除したマッピング情報が復活するので注意が必要である。この情報は「Microsoft Security Bulletin」に5月3日付けで追加されている（日本語情報の「マイクロソフトセキュリティ情報」には未掲載）。その場合の対処方法も追記されているので対象ユーザーは参考にしてほしい。ただし，確実に対応するには修正パッチを適用したほうがよいだろう。

　リモートから任意のコードを実行できるだけでも十分脅威であるが，今回のセキュリティ・ホールにはそれ以外にも非常に危険な特徴がある。マイクロソフトが公開しているFAQでは「IIS 5.0 サービスは異常終了した後に自動的に再び開始するため，サービス拒否攻撃を有効に行うためにバッファのオーバーラン攻撃を利用することはできません」と記載されており，DoSアタック（サービス拒否攻撃）としては悪用できないことを示唆している。しかし裏を返せば，任意のコードの実行を攻撃者が何度でもトライできることを示している。攻撃に失敗してもIISは何事もなかったかのように再起動するので，ログなどを調べられない限り，管理者に気づかれることなく攻撃を続行できる。

　加えて，アタックの有効性を実証する「iishack2000.c」，「webexplt.pl」，「jill.c」と名付けられたExploitコードが続々と公開されている。現状では幸運なことに日本語版のIIS 5.0に対しては単なるDoSアタックのツールとしてしか機能しないが、日本語版のIIS 5.0に対して乗っ取りまで完全に機能するExploitコードの登場も時間の問題であろう。

望まれるセキュリティ・ホール情報の迅速な告知

　ところで，Webや新聞などいくつかのメディアは内容に大きな隔たりがあるものの，マイクロソフトが警告した日と同じ日（5月2日）に今回のセキュリティ・ホールを報道した。しかし，セキュリティ・インシデントに対応する国内の機関である情報処理振興事業協会（IPA）セキュリティセンターは，「ウイルス/不正アクセスの届出・相談受付の一時休止について」で告知しているように休止中であり，コンピュータ緊急対応センター (JPCERT/CC)は，「長期休暇を控えて」というレポートで一般的な警戒を呼びかけるだけに留まっている。

　システム管理者に警告を促すメール・サービスも同様だ。プッシュ型であるため，メールによる警告はWebサイトでの情報公開に比べて有効である。ところが，国内では今回のセキュリティ・ホール情報を配信しなかったサービスは多かった。例えば，JPCERT/CC。JPCERT/CCは，米国のインシデント対応機関であるCERT/CCからセキュリティ・ホール情報のレポートがリリースされると，登録ユーザーに警告メールを配信をしている。ところが，CERT/CCから米国時間の5月2日にレポートが出ているにもかかわらず，今回のセキュリティ・ホール情報についてはメール配信が行われていない ^*2。

*2：[IT Pro 編集注] JPCERT/CCは5月7日，CERT/CCからレポートがリリースされたことを登録ユーザーにメールで知らせた。

　メールについてはマイクロソフトも同様である。米Microsoftからは米国時間5月1日に警告メールが登録ユーザーに送られているにもかかわらず，マイクロソフトの「Microsoft Product Security 警告サービス日本語版」では配信されていない（5月6日現在）。Webの「マイクロソフトセキュリティ情報」では5月2日に素早く情報公開したことと比較すると，あまりにもチグハグな対応である。

　国内では，「Japan Windows NT Users Group」が登録会員に対して，5月2日に「JWNTUG Newsletter [号外]」として今回のセキュリティ・ホールを告知した程度である。

　今年のゴールデンウィークは，中国系ドメインから米国サイトへのアタックが急増しているために，米国家インフラ保護センター（NIPC）が海外からのアタックを警告していた時期（4月30日から5月7日）でもあった。このことを考えると，日本もまったく無関心ではいられない状況のはずだった。ところが国内の組織や企業の対応を見る限りでは，長期休暇ということで疎かになっていたと言わざるをえない。

　警察や消防署には，業務停止日は存在しない。同様にセキュリティ・インシデントに関する情報提供も，休日だからといって停止するようでは困る。たとえ有償でもよいから，組織化された公的な団体や企業による情報提供サービスが必要な時期に来ているのではないだろうか。“草の根”や非営利のユーザーズ・グループなどの善意の情報提供サイトなどに頼るのはそろそろ限界であろう。

日本語版パッチ情報は新規に3件

　上記以外のWindows関連のセキュリティ・トピックス（2001年5月6日時点分）を整理する。「マイクロソフトセキュリティ情報」ではレポートがアップデートされ，3件の日本語版パッチ関連情報が公開された。（1）「(MS01-016) 不正な WebDAV リクエストにより IIS が CPU リソースを使い果たす」に関するWindows 2000用日本語版パッチと，（2）「(MS00-095) 『レジストリのアクセス権』のぜい弱性を解決するツール」に関するWindows NT 4.0用日本語版ツールである。加えて，（3）「(MS00-008)『レジストリ値のアクセス権』のぜい弱性に対する対策」において，既に公開されているWindows NT 4.0用英語版ツールが日本語環境でも使用可能であるという情報が追加された。

　まず（1）は，リモートからWebコンテンツの作成や管理を可能にする HTTPプロトコルの拡張機能「WebDAV」の不具合を修正するパッチである。IIS 5.0のWebDAVには，攻撃者から不正なリクエストのストリームを送信されると，すべてのCPU能力を使い果たしてDoS状態に陥るというセキュリティ・ホールが存在する。

　不正なリクエストがなくなれば，IIS 5.0はすぐに通常のサービスを自動的に再開できる。加えて，このセキュリティ・ホールを悪用してもサーバーの管理者権限を取得されたり，サーバー上のデータを改ざんされる恐れはない。そのため危険性は小さいが，このセキュリティ・ホールを突くためのPerlのサンプル・コードが公開されていることもあり，対策を施す必要はある。WebDAVサービスを無効化しても回避できるが，ぜひ今回公開されたパッチを適用しておこう。

　（2）のセキュリティ・ホールは，デフォルトのレジストリ値のアクセス権のままでは，「SNMP」「RAS」「MTS」に関して権限を追加される可能性があるというものであった。レポートにも記載されている通り，「SNMP」「RAS」「MTS」のいずれもデフォルトでは Windows NT 4.0 にインストールされていないため，影響を受けるケースは少ないと思われる。必要に応じて今回の日本語版ツールを使用し，対象のアクセス権を適切に変更すればよいだろう。

　（3）のセキュリティ・ホールもレジストリ値に関するものである。デフォルトのアクセス権のままでは，インタラクティブにログオンできるマシンから，権限を追加される恐れがある。アクセス権の強化が必要なキーに対し，デフォルトの値を修正する英語版ツールはリリースされていたが，今回英語版ツールが日本語環境でも使用可能であるという情報が公開された。必要に応じてツールを使用しよう。

　しかし，この英語版ツールを使用しなくても，上記の「(MS00-095)『レジストリのアクセス権』のぜい弱性を解決するツール」に関するWindows NT 4.0用日本語版ツールで，このセキュリティ・ホールをふさぐことが可能である。また，上記のツールを使えば，「(MS00-024) 『改ざんされたレジストリが暗号キーに与える影響』のぜい弱性に対する対策」に関するレジストリ値のアクセス権も修正できる。それぞれ確認し，必要に応じて修正しておこう。

　上記以外の新規情報としては，前回お知らせした「(MS01-021) Web 公開時に異常なリクエストによって Web Proxy サービスが停止する」に情報が追加された。Web ページまたは HTML 形式の電子メールによりアタックされる可能性があるという情報である。ISA Server 2000を使用している場合は，チェックしておこう。

「TechNet Online - Security」では公開ドキュメント1件

　「TechNet Online - Security」では，「E-Commerce における Windows 2000 のセキュリティ」というタイトルのドキュメントが1件公開された。

　このドキュメントでは，まずWindows NT と Windows 2000 のセキュリティ・アーキテクチャの違いを説明し，次にKerberos プロトコルなど，Windows 2000 のセキュリティの強化機能について解説している。さらに，COM+ に組み込まれたセキュリティ強化機能についても解説している。

　Windows 2000 固有のセキュリティ強化機能を使って，アプリケーションのセキュリティを高める必要があるユーザーにとっては有用なドキュメントである。対象ユーザーはぜひチェックしておこう。

　■(MS01-023)ISAPI エクステンションの未チェックのバッファにより IIS 5.0 Server のセキュリティが侵害される（2001年5月2日：日本語解説＆日本語版パッチ公開）

　■マイクロソフトセキュリティ情報(MS01-023) ：よく寄せられる質問（FAQ）

　■「Internet Information Services 5 セキュリティのチェックリスト」

　■Windows 2000 IIS 5.0 Remote buffer overflow vulnerability (Remote SYSTEM Level Access)　（今回のセキュリティ・ホールを発見した「eEye Digital Security」のレポート：2001/05/01）

　■CA-2001-10: Buffer Overflow Vulnerability in Microsoft IIS 5.0（CERT：2001/05/02）

　■Increased Internet Attacks Against U.S. Web Sites and Mail Servers Possible in Early May（NIPC：2001/04/26）

マイクロソフトセキュリティ情報

　■(MS01-016)不正な WebDAV リクエストにより IIS が CPU リソースを使い果たす（2001年5月2日：日本語版パッチ公開）

　■(MS00-095)「レジストリのアクセス権」の脆弱性を解決するツール（2001年5月2日：日本語版ツール公開）

　■(MS00-008)「レジストリ値のアクセス権」の脆弱性に対する対策（2001年4月24日：英語版ツールを日本語環境でも使用可能な情報を公開）

　■(MS01-021)Web 公開時に異常なリクエストによって Web Proxy サービスが停止する（2001年4月25日：Web ページまたは HTML 形式の電子メールによりアタックされる可能性を追加公開）

TechNet Online　目的別インデックス（セキュリティ情報）

　■E-Commerce における Windows 2000 のセキュリティ（2001年4月23日：日本語訳公開）

山下　眞一郎（Shinichiro Yamashita）
株式会社富士通南九州システムエンジニアリング
第二ソリューション事業部システムサービス部プロジェクト課長
yama@bears.ad.jp

　「今週のSecurity Check [Windows編]」は，IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し，「Winセキュリティ虎の穴」を運営する山下眞一郎氏に，Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。（IT Pro編集部）