IISにまたもやホール，対策として「IIS Lockdown Wizard ツール」が有効

ISAPIエクステンションにもホール，深刻度が「警告」から「重要」に引き上げ

山下眞一郎

2003.06.04

　またもやInternet Information Server/Services（IIS）にセキュリティ・ホールが見つかった。深刻度は「重要」で，セキュアな運用を実施しているIISサーバーでは慌てて対策を施すほどのものではない。しかし油断はできない。特にWindows 2000ではパッチを適用して対策したい。今後もIISにはセキュリティ・ホールが続出するだろう。このコラムでも何度か述べているように，マイクロソフトが公開する「IIS Lockdown Wizard ツール」は対策として有効である。IISサーバー管理者はぜひ活用しよう。

IISに4種類のセキュリティ・ホール，累積パッチが公開

　マイクロソフトは5月29日，IISの新たな4種類のセキュリティ・ホールを明らかにするとともに，修正パッチを公開した。

Internet Information Service 用の累積的な修正プログラム (811114) (MS03-018)

　影響を受けるのは，IIS 4.0／5.0／5.1 を使用してサービスを提供しているWindows NT 4.0／2000／Windows XP マシン。最も深刻なセキュリティ・ホールを悪用されると， IISサーバー上で任意のコードを実行される恐れがある（関連記事）。

　6月25日から出荷予定の「Windows Server 2003 日本語版」に含まれるIIS 6.0 は影響を受けない。また，改めて確認すると，IIS 4.0 は Windows NT 4.0 Option Packに，IIS 5.0 は Windows 2000 Datacenter Server／Advanced Server／Server／Professional に，IIS 5.1 は Windows XP Professionalに含まれている。Windows 2000 Professional と Windows XP Professional においては，基本的にはIISはデフォルトでは稼働しない。

　ここで“基本的には”としたのは，OSがパソコンにプリインストールされる際に，ベンダーなどによって設定が変更される場合があるからだ。Windows 2000 Professional／XP Professionalユーザーは，念のために確認しておきたい。

　対策は，セキュリティ情報と同時に公開されたパッチを適用すること。今回公開されたパッチは，2002年10月31日に公開された「Internet Information Service 用の累積的な修正プログラム (Q327696) (MS02-062)」などを含む，IISに関する“累積”パッチである。

　パッチの適用前提は，IIS 4.0用がWindows NT 4.0 Service Pack（SP）6aを，IIS 5.0 用がWindows 2000 SP2／SP3を適用済みであることである。IIS 5.1 用の場合，適用条件は無い。

　ただし，今回累積的な修正パッチを適用すると，クライアント側の証明書が無効になるという不具合が発生する。これを回避するためには，「MS02-050」のパッチを適用する必要があるので注意しよう（既に適用済みの場合には問題ない）。「MS02-050」のパッチ適用は，今回の「MS03-018」のパッチを適用した後でもかまわない。

　今回のパッチは，セキュアな運用を実施しているシステムにおいては，IISをすぐに停止して適用しなければならないほど，緊急度が高いものではない。ただし，現状では問題がなくても，今後運用などを変更した場合に，思わぬ“穴”が開く可能性がある。

　また，筆者のもとには，今回のセキュリティ・ホールの有無を調査していると思われるトラフィック（HTTPリクエスト）が流れているとの報告が寄せられている。セキュアな運用を実施しているシステムでも，パッチを適用しておきたい。特に Windows 2000 のシステムでは今回公開された4種類のセキュリティ・ホールすべての影響を受けるので，できるだけ速やかにパッチを適用しよう。

　なお，今回のセキュリティ・ホールでは，IIS Lockdown Wizardツールの有効性が改めて示された。IIS Lockdown Wizardツールとは，IISをセキュアな設定にするツールのこと。適用すると，攻撃対象となりやすいIISの拡張機能を無効にする。

　IIS Lockdown Wizardツールを適用していれば，今回公開された4種類のセキュリティ・ホールのうち，2種類のセキュリティ・ホールの影響を事前に回避できる（詳細は後述）。このコラムで何度も説明しているように，IIS Lockdown Wizardツールは事前の対策として大変有効である。未適用の場合は，ぜひ適用することを検討してほしい。

IIS Lockdown Wizardツールが有効

　今回公開された4種類のセキュリティ・ホールをもう少し詳しく解説する。今回公開されたのは，以下のセキュリティ・ホールである。

(a)「リダイレクトのクロスサイト・スクリプティング」
(b)「サーバー側インクルード Web ページのバッファ・オーバーラン」
(c)「ASP ヘッダーのサービス拒否」
(d)「WebDAV のサービス拒否」

　最大深刻度は，(a) が「注意」，(b)(c) が「警告」，(d) が「重要」である。IIS 4.0（Windows NT 4.0）は (a)と(b)，IIS 5.0（Windows 2000）は 4種類すべて，IIS 5.1（Windows XP）は (a)(d) の影響を受ける。

　(a) については深刻度が一番下の「注意」なので，詳細については割愛する。

　(b)「サーバー側インクルード Web ページのバッファ・オーバーラン」のセキュリティ・ホールを悪用するには，攻撃者はIIS サーバーにファイルをアップロードする必要がある。つまり，ファイルのアップロードを制限していれば，攻撃を受けることはない。

　また，IIS Lockdown Wizard ツールをデフォルト構成のままで適用している場合には，「ssinc.dll」マッピングが無効にされているので，セキュリティ・ホールの影響を受けない。

　なお，5月30日付けで「US マイクロソフトセキュリティ情報（MS03-018）」では，（b）に関する情報が加筆修正された。具体的には，セキュリティ・ホールを悪用しても，攻撃者は“ユーザー・レベル”の権限で任意のコードを実行できるだけとしていたものを，“システム・レベル”の権限で実行できると修正した。つまり，攻撃を許すと，当初想定されていた以上のダメージを被る恐れがあるのだ。

　この情報は，原稿執筆時点（6月1日）では日本語のセキュリティ情報においてアナウンスされていない。

　(c)「ASP ヘッダーのサービス拒否」については，（b）同様，IIS サーバーにファイルをアップロードできることが，攻撃の必要条件となる。攻撃を受けた結果，IIS 5.0が異常終了しても，その後 IIS 5.0は自動的に再起動する。

　(d)「WebDAV のサービス拒否」については，（b）同様，IIS Lockdown Wizard ツールをデフォルト構成のままで適用していれば，WebDAVが無効にされるので，影響を受けない。

　また，（c）同様，攻撃を受けた結果 IIS 5.0／5.1が異常終了しても，その後 IIS 5.0／5.1は自動的に再起動する。

　セキュリティ情報の「謝辞」の項によれば，(a) は「SPIDynamics SPI Labs」，(b) は「NSFocus」，(d) は SPIDynamics SPI Labs および「Next Generation Security Software」のMark Litchfield 氏から，それぞれ米Microsoftへ事前の報告および協力があったことが分かる。このため，アンダーグランドでこれらのセキュリティ・ホールが周知されていたり，悪用されていたりする可能性は小さいと考えられる。

　前述のように，今回公開されたパッチは，今まで公開されたIIS関連のパッチを含む累積パッチである。しかし，セキュリティ情報の「警告」の項に記載してある通り，IIS 4.0 に影響を及ぼす 4 種類のセキュリティ・ホールに関するパッチや，Front Page Server Extensions や Index Server のセキュリティ・ホールに関するパッチのほとんどは，今回のパッチには含まれていない。注意するとともに，セキュリティ情報で詳細をチェックしてほしい。

　さらに，Site Server 3.0 を使用している場合は，今回のパッチ適用で，以前に公開された断続的な認証エラーの問題（Site Server にマップされた Web サイトへのログオンが不規則に失敗するという問題）が発生するようだ。問題が発生するシステムでは，「サポート技術情報『JP317815: [sitemcis] Windows 2000 の特定の修正プログラムをインストールした後 Site Server のログオンに問題が発生する」に従って，問題を解消する必要があるので注意してほしい。

ISAPI エクステンションにホール，「警告」から「重要」に

　次に，上記以外のWindows関連のセキュリティ・トピックス（2003年6月1日時点）を解説する。

Windows Media サービスの ISAPI エクステンションの問題により，サービス拒否が起こる (817772) (MS03-019)

　ストリーミング・メディア・サーバー機能を提供する「Windows Media サービス 4.1」に含まれるISAPIエクステンション「nsiislog.dll」にセキュリティ・ホールが見つかった。Windows Media サービス 4.1を組み込んだ Windows NT 4.0 Server／2000 Server／2000 Advanced Server／2000 Datacenter Server が影響を受ける。特定のリクエストを送信されると，それぞれで稼働するIISのサービスを停止させられたり，サーバー上で任意のコードを実行されたりする恐れがある。

　nsiislog.dllは，ログを記録するためのISAPIエクステンションであり，Windows Media サービス 4.1を組み込むと，同時にインストールされる。nsiislog.dllの，受信したリクエストを処理する部分に不具合が見つかった。

　対策はパッチを適用することである。

　なお，Windows Media サービス 4.1 は，Windows 2000 Serverシリーズ（Server／Advanced Server／Datacenter Server）にはデフォルトでインストールされない。Windows NT 4.0 Server では，マイクロソフトのサイトからダウンロードした上で，個別にインストールする必要がある。また，Windows 2000 Professional や Windows NT 4.0 Workstation ではWindows Media サービスを利用できないので，セキュリティ・ホールの影響を受けない。さらに，Windows XPとWindows Server 2003も影響を受けない。

　このセキュリティ情報が公開された5月29日時点では，攻撃者はIISのサービスを停止させることしかできないとしていた。そして，セキュリティ・ホールの最大深刻度は，下から2番目の「警告」に設定していた。

　しかし，セキュリティ情報が公開された後，セキュリティ・ホールの発見者からセキュリティ関連メーリング・リストに，異を唱えるメールが投稿された。単にIISのサービスを停止させられるだけではなく，任意のコードを実行される恐れがあるというのだ。

　こうしたことを受けて，「US マイクロソフトセキュリティ情報（MS03-019）」には5月30日付けで，マイクロソフトのセキュリティ情報では6月1日付けで，任意のコードを実行される恐れがあることが追記された。併せて，最大深刻度が「重要（Important）」に引き上げられた。

　このため，Windows Media サービス 4.1を組み込んでいる Windows 2000 および NT においては，今回のパッチ適用は必須であると考えたほうがよいだろう。

　セキュリティ情報の「謝辞」によれば，Brett Moore 氏から，米Microsoftへ事前の報告および協力があったことが分かる。このため，アンダーグランドでこのセキュリティ・ホールが周知されていたり，悪用されていたりする可能性は小さいと考えられる。

XP SP1用の“パッチのパッチ”が公開

　Windows NT 4.0／NT 4.0, Terminal Server Edition／2000／XPに見つかった，

Windows カーネルメッセージ処理のバッファオーバーランにより，権限が昇格する (811493) (MS03-013)

のセキュリティ・ホールを修正する，Windows XP SP1用のパッチが新たに公開された。以前の記事で解説したように，Windows XP SP1用のパッチには，適用するとシステムのパフォーマンスが低下する問題が見つかっていた。その問題を解消したパッチが，問題の発覚から1カ月以上経過した5月29日にようやく公開された。

　今回のケースに限らず，パッチの適用で問題が発生することは少なくない。今後も，パッチ適用前および適用後の検証は不可欠である。

Windows XPも影響を受ける“過去最大級”のホール

　以前の記事で，“過去最大級”のホールとして伝えた

Windows コンポーネントの未チェックのバッファにより Web サーバーが侵害される (MS03-007)

の影響を，Windows XPも受けることが明らかとなった。5月29日，マイクロソフトはセキュリティ情報を修正するとともに，XP用のパッチを公開した。

　このセキュリティホールが公開された3月18日時点では，Windows 2000だけが影響を受けるとしていた。しかし，4月24日には Windows NT 4.0 も影響を受けることが明らかとなった（関連記事）。そして今回は，Windows XPにも同じセキュリティ・ホールが存在することがアナウンスされた。結局，Windows NT 4.0／2000／XPのすべてにセキュリティ・ホールが存在していたのである。

　マイクロソフトでは，Windows XP においては IIS 5.1 がデフォルトではインストールされないので，深刻度は上から2番目の「重要」に設定している。しかし，セキュリティ・ホールが存在するのは，IISではなく，オペレーティング・システム・コンポーネント「ntdll.dll」である。IISのWebDAV機能経由以外の攻撃も可能なのだ（関連記事）。

　実際，マイクロソフトが公開する「よく寄せられる質問」の「Windows XPで動作するIIS 5.1もこの脆弱性の影響を受けますか？」の部分で，IIS がインストールされていない場合でも，攻撃者にセキュリティ・ホールを悪用される恐れがあることが明示されている。Windows XPおよびNTユーザーは，セキュリティ・ホールの影響を過小評価することなく，速やかに修正パッチを適用しよう。

　なお，「US マイクロソフトセキュリティ情報（MS03-007）」が5月30日付けで更新され，今回のセキュリティ・ホールについて「:: Operash ::」のnesumin氏から米Microsoftへ事前の報告および協力があったことが「Acknowledgments」（謝辞）の項に追記された。「:: Operash::」は，Operaのセキュリティホール情報を中心に日本語で公開されているWebサイトである。

ネットワークに接続できなくなる不具合がXP用パッチに

　「トラブル・メンテナンス速報」では，5月29日に「818043 Windows XP 用推奨修正プログラムの適用後にネットワークに接続できない」というトラブルがアナウンスされている。

　具体的には，「Windows Update」サイトで公開された「Microsoft Knowledge Base 818043『L2TP/IPSec NAT-T Update for Windows XP and Windows 2000』」向けの Windows XP 用推奨パッチを適用すると，ネットワークに接続できなくなるという。

　現時点（6月1日）では，マイクロソフトは問題を調査中であるとアナウンスしている。問題が発生したシステムでは，修正パッチをアンインストールすることで問題を解消できる。アンインストールの手順は「トラブル・メンテナンス速報」に記載されているので参考にしてほしい。

マイクロソフトセキュリティ情報一覧

『Internet Information Server 4.0，Internet Information Services 5.0／5.1』
◆Internet Information Service 用の累積的な修正プログラム (811114) (MS03-018)
　（2003年 5月29日：日本語情報および日本語版パッチ公開，最大深刻度 : 重要）

『Windows NT 4.0 Server ／ 2000 Server』
◆Windows Media サービスの ISAPI エクステンションの問題により，サービス拒否が起こる (817772) (MS03-019)
　（2003年 6月 1日：「脆弱性の影響」が「攻撃者の任意のコードが実行される可能性があります」に変更。併せて，最大深刻度が「警告」から「重要」に引き上げ）
　（2003年 5月29日：日本語情報および日本語版パッチ公開，最大深刻度 : 警告）

『Windows NT 4.0／2000／XP』
◆Windows カーネルメッセージ処理のバッファオーバーランにより，権限が昇格する (811493) (MS03-013)
　（2003年 5月29日：パフォーマンス問題を修正した XP SP1 用パッチが公開）
　（2003年 5月 1日：パフォーマンス問題に関するサポート技術情報の日本語版が公開）
　（2003年 4月28日：パフォーマンス問題に関するサポート技術情報[英語情報]へのリンクが追加）
　（2003年 4月24日：XP SP1 用パッチの適用で発生するパフォーマンス問題を公開）
　（2003年 4月17日：日本語情報および日本語版パッチ公開，最大深刻度 : 重要）

『Windows NT 4.0／NT 4.0 Terminal Server Edition／2000／XP』
◆Windows コンポーネントの未チェックのバッファにより Web サーバーが侵害される (MS03-007)
　（2003年 5月29日：Windows XP も影響を受けることを追記。併せて，XP 用のパッチを公開）
　（2003年 5月29日：「よく寄せられる質問」に，IIS 5.1 に関する情報が追加）
　（2003年 4月24日：Windows NT 4.0 も影響を受けることを追記。併せて，NT 4.0／NT 4.0 Terminal Server Edition 用のパッチを公開）
　（2003年 3月18日：日本語情報および日本語版パッチ公開，最大深刻度 : 緊急）

山下　眞一郎（Shinichiro Yamashita）
株式会社富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部　プロジェクト課長
yamaアットマークbears.ad.jp

　「今週のSecurity Check [Windows編]」は，IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し，「Winセキュリティ虎の穴」を運営する山下眞一郎氏に，Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。（IT Pro編集部）