• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

今週のSecurity Check

IISにまたもやホール,対策として「IIS Lockdown Wizard ツール」が有効

ISAPIエクステンションにもホール,深刻度が「警告」から「重要」に引き上げ

山下眞一郎 2003/06/04 ITpro

 またもやInternet Information Server/Services(IIS)にセキュリティ・ホールが見つかった。深刻度は「重要」で,セキュアな運用を実施しているIISサーバーでは慌てて対策を施すほどのものではない。しかし油断はできない。特にWindows 2000ではパッチを適用して対策したい。今後もIISにはセキュリティ・ホールが続出するだろう。このコラムでも何度か述べているように,マイクロソフトが公開する「IIS Lockdown Wizard ツール」は対策として有効である。IISサーバー管理者はぜひ活用しよう。

IISに4種類のセキュリティ・ホール,累積パッチが公開

 マイクロソフトは5月29日,IISの新たな4種類のセキュリティ・ホールを明らかにするとともに,修正パッチを公開した。

Internet Information Service 用の累積的な修正プログラム (811114) (MS03-018)

 影響を受けるのは,IIS 4.0/5.0/5.1 を使用してサービスを提供しているWindows NT 4.0/2000/Windows XP マシン。最も深刻なセキュリティ・ホールを悪用されると, IISサーバー上で任意のコードを実行される恐れがある(関連記事)。

 6月25日から出荷予定の「Windows Server 2003 日本語版」に含まれるIIS 6.0 は影響を受けない。また,改めて確認すると,IIS 4.0 は Windows NT 4.0 Option Packに,IIS 5.0 は Windows 2000 Datacenter Server/Advanced Server/Server/Professional に,IIS 5.1 は Windows XP Professionalに含まれている。Windows 2000 Professional と Windows XP Professional においては,基本的にはIISはデフォルトでは稼働しない。

 ここで“基本的には”としたのは,OSがパソコンにプリインストールされる際に,ベンダーなどによって設定が変更される場合があるからだ。Windows 2000 Professional/XP Professionalユーザーは,念のために確認しておきたい。

 対策は,セキュリティ情報と同時に公開されたパッチを適用すること。今回公開されたパッチは,2002年10月31日に公開された「Internet Information Service 用の累積的な修正プログラム (Q327696) (MS02-062)」などを含む,IISに関する“累積”パッチである。

 パッチの適用前提は,IIS 4.0用がWindows NT 4.0 Service Pack(SP)6aを,IIS 5.0 用がWindows 2000 SP2/SP3を適用済みであることである。IIS 5.1 用の場合,適用条件は無い。

 ただし,今回累積的な修正パッチを適用すると,クライアント側の証明書が無効になるという不具合が発生する。これを回避するためには,「MS02-050」のパッチを適用する必要があるので注意しよう(既に適用済みの場合には問題ない)。「MS02-050」のパッチ適用は,今回の「MS03-018」のパッチを適用した後でもかまわない。

 今回のパッチは,セキュアな運用を実施しているシステムにおいては,IISをすぐに停止して適用しなければならないほど,緊急度が高いものではない。ただし,現状では問題がなくても,今後運用などを変更した場合に,思わぬ“穴”が開く可能性がある。

 また,筆者のもとには,今回のセキュリティ・ホールの有無を調査していると思われるトラフィック(HTTPリクエスト)が流れているとの報告が寄せられている。セキュアな運用を実施しているシステムでも,パッチを適用しておきたい。特に Windows 2000 のシステムでは今回公開された4種類のセキュリティ・ホールすべての影響を受けるので,できるだけ速やかにパッチを適用しよう。

 なお,今回のセキュリティ・ホールでは,IIS Lockdown Wizardツールの有効性が改めて示された。IIS Lockdown Wizardツールとは,IISをセキュアな設定にするツールのこと。適用すると,攻撃対象となりやすいIISの拡張機能を無効にする。

 IIS Lockdown Wizardツールを適用していれば,今回公開された4種類のセキュリティ・ホールのうち,2種類のセキュリティ・ホールの影響を事前に回避できる(詳細は後述)。このコラムで何度も説明しているように,IIS Lockdown Wizardツールは事前の対策として大変有効である。未適用の場合は,ぜひ適用することを検討してほしい。

IIS Lockdown Wizardツールが有効

 今回公開された4種類のセキュリティ・ホールをもう少し詳しく解説する。今回公開されたのは,以下のセキュリティ・ホールである。

(a)「リダイレクトのクロスサイト・スクリプティング」
(b)「サーバー側インクルード Web ページのバッファ・オーバーラン」
(c)「ASP ヘッダーのサービス拒否」
(d)「WebDAV のサービス拒否」

 最大深刻度は,(a) が「注意」,(b)(c) が「警告」,(d) が「重要」である。IIS 4.0(Windows NT 4.0)は (a)と(b),IIS 5.0(Windows 2000)は 4種類すべて,IIS 5.1(Windows XP)は (a)(d) の影響を受ける。

 (a) については深刻度が一番下の「注意」なので,詳細については割愛する。

 (b)「サーバー側インクルード Web ページのバッファ・オーバーラン」のセキュリティ・ホールを悪用するには,攻撃者はIIS サーバーにファイルをアップロードする必要がある。つまり,ファイルのアップロードを制限していれば,攻撃を受けることはない。

 また,IIS Lockdown Wizard ツールをデフォルト構成のままで適用している場合には,「ssinc.dll」マッピングが無効にされているので,セキュリティ・ホールの影響を受けない。

 なお,5月30日付けで「US マイクロソフトセキュリティ情報(MS03-018)」では,(b)に関する情報が加筆修正された。具体的には,セキュリティ・ホールを悪用しても,攻撃者は“ユーザー・レベル”の権限で任意のコードを実行できるだけとしていたものを,“システム・レベル”の権限で実行できると修正した。つまり,攻撃を許すと,当初想定されていた以上のダメージを被る恐れがあるのだ。

 この情報は,原稿執筆時点(6月1日)では日本語のセキュリティ情報においてアナウンスされていない。

 (c)「ASP ヘッダーのサービス拒否」については,(b)同様,IIS サーバーにファイルをアップロードできることが,攻撃の必要条件となる。攻撃を受けた結果,IIS 5.0が異常終了しても,その後 IIS 5.0は自動的に再起動する。

 (d)「WebDAV のサービス拒否」については,(b)同様,IIS Lockdown Wizard ツールをデフォルト構成のままで適用していれば,WebDAVが無効にされるので,影響を受けない。

 また,(c)同様,攻撃を受けた結果 IIS 5.0/5.1が異常終了しても,その後 IIS 5.0/5.1は自動的に再起動する。

 セキュリティ情報の「謝辞」の項によれば,(a) は「SPIDynamics SPI Labs」,(b) は「NSFocus」,(d) は SPIDynamics SPI Labs および「Next Generation Security Software」のMark Litchfield 氏から,それぞれ米Microsoftへ事前の報告および協力があったことが分かる。このため,アンダーグランドでこれらのセキュリティ・ホールが周知されていたり,悪用されていたりする可能性は小さいと考えられる。

 前述のように,今回公開されたパッチは,今まで公開されたIIS関連のパッチを含む累積パッチである。しかし,セキュリティ情報の「警告」の項に記載してある通り,IIS 4.0 に影響を及ぼす 4 種類のセキュリティ・ホールに関するパッチや,Front Page Server Extensions や Index Server のセキュリティ・ホールに関するパッチのほとんどは,今回のパッチには含まれていない。注意するとともに,セキュリティ情報で詳細をチェックしてほしい。

 さらに,Site Server 3.0 を使用している場合は,今回のパッチ適用で,以前に公開された断続的な認証エラーの問題(Site Server にマップされた Web サイトへのログオンが不規則に失敗するという問題)が発生するようだ。問題が発生するシステムでは,「サポート技術情報『JP317815: [sitemcis] Windows 2000 の特定の修正プログラムをインストールした後 Site Server のログオンに問題が発生する」に従って,問題を解消する必要があるので注意してほしい。

ISAPI エクステンションにホール,「警告」から「重要」に

 次に,上記以外のWindows関連のセキュリティ・トピックス(2003年6月1日時点)を解説する。

Windows Media サービスの ISAPI エクステンションの問題により,サービス拒否が起こる (817772) (MS03-019)

 ストリーミング・メディア・サーバー機能を提供する「Windows Media サービス 4.1」に含まれるISAPIエクステンション「nsiislog.dll」にセキュリティ・ホールが見つかった。Windows Media サービス 4.1を組み込んだ Windows NT 4.0 Server/2000 Server/2000 Advanced Server/2000 Datacenter Server が影響を受ける。特定のリクエストを送信されると,それぞれで稼働するIISのサービスを停止させられたり,サーバー上で任意のコードを実行されたりする恐れがある。

 nsiislog.dllは,ログを記録するためのISAPIエクステンションであり,Windows Media サービス 4.1を組み込むと,同時にインストールされる。nsiislog.dllの,受信したリクエストを処理する部分に不具合が見つかった。

 対策はパッチを適用することである。

 なお,Windows Media サービス 4.1 は,Windows 2000 Serverシリーズ(Server/Advanced Server/Datacenter Server)にはデフォルトでインストールされない。Windows NT 4.0 Server では,マイクロソフトのサイトからダウンロードした上で,個別にインストールする必要がある。また,Windows 2000 Professional や Windows NT 4.0 Workstation ではWindows Media サービスを利用できないので,セキュリティ・ホールの影響を受けない。さらに,Windows XPとWindows Server 2003も影響を受けない。

 このセキュリティ情報が公開された5月29日時点では,攻撃者はIISのサービスを停止させることしかできないとしていた。そして,セキュリティ・ホールの最大深刻度は,下から2番目の「警告」に設定していた。

 しかし,セキュリティ情報が公開された後,セキュリティ・ホールの発見者からセキュリティ関連メーリング・リストに,異を唱えるメールが投稿された。単にIISのサービスを停止させられるだけではなく,任意のコードを実行される恐れがあるというのだ。

 こうしたことを受けて,「US マイクロソフトセキュリティ情報(MS03-019)」には5月30日付けで,マイクロソフトのセキュリティ情報では6月1日付けで,任意のコードを実行される恐れがあることが追記された。併せて,最大深刻度が「重要(Important)」に引き上げられた。

 このため,Windows Media サービス 4.1を組み込んでいる Windows 2000 および NT においては,今回のパッチ適用は必須であると考えたほうがよいだろう。

 セキュリティ情報の「謝辞」によれば,Brett Moore 氏から,米Microsoftへ事前の報告および協力があったことが分かる。このため,アンダーグランドでこのセキュリティ・ホールが周知されていたり,悪用されていたりする可能性は小さいと考えられる。

XP SP1用の“パッチのパッチ”が公開

 Windows NT 4.0/NT 4.0, Terminal Server Edition/2000/XPに見つかった,

Windows カーネル メッセージ処理のバッファ オーバーランにより,権限が昇格する (811493) (MS03-013)

のセキュリティ・ホールを修正する,Windows XP SP1用のパッチが新たに公開された。以前の記事で解説したように,Windows XP SP1用のパッチには,適用するとシステムのパフォーマンスが低下する問題が見つかっていた。その問題を解消したパッチが,問題の発覚から1カ月以上経過した5月29日にようやく公開された。

 今回のケースに限らず,パッチの適用で問題が発生することは少なくない。今後も,パッチ適用前および適用後の検証は不可欠である。

Windows XPも影響を受ける“過去最大級”のホール

 以前の記事で,“過去最大級”のホールとして伝えた

Windows コンポーネントの未チェックのバッファにより Web サーバーが侵害される (MS03-007)

の影響を,Windows XPも受けることが明らかとなった。5月29日,マイクロソフトはセキュリティ情報を修正するとともに,XP用のパッチを公開した。

 このセキュリティホールが公開された3月18日時点では,Windows 2000だけが影響を受けるとしていた。しかし,4月24日には Windows NT 4.0 も影響を受けることが明らかとなった(関連記事)。そして今回は,Windows XPにも同じセキュリティ・ホールが存在することがアナウンスされた。結局,Windows NT 4.0/2000/XPのすべてにセキュリティ・ホールが存在していたのである。

 マイクロソフトでは,Windows XP においては IIS 5.1 がデフォルトではインストールされないので,深刻度は上から2番目の「重要」に設定している。しかし,セキュリティ・ホールが存在するのは,IISではなく,オペレーティング・システム・コンポーネント「ntdll.dll」である。IISのWebDAV機能経由以外の攻撃も可能なのだ(関連記事)。

 実際,マイクロソフトが公開する「よく寄せられる質問」の「Windows XPで動作するIIS 5.1もこの脆弱性の影響を受けますか?」の部分で,IIS がインストールされていない場合でも,攻撃者にセキュリティ・ホールを悪用される恐れがあることが明示されている。Windows XPおよびNTユーザーは,セキュリティ・ホールの影響を過小評価することなく,速やかに修正パッチを適用しよう。

 なお,「US マイクロソフトセキュリティ情報(MS03-007)」が5月30日付けで更新され,今回のセキュリティ・ホールについて「:: Operash ::」のnesumin氏から米Microsoftへ事前の報告および協力があったことが「Acknowledgments」(謝辞)の項に追記された。「:: Operash::」は,Operaのセキュリティホール情報を中心に日本語で公開されているWebサイトである。

ネットワークに接続できなくなる不具合がXP用パッチに

 「トラブル・メンテナンス速報」では,5月29日に「818043 Windows XP 用推奨修正プログラムの適用後にネットワークに接続できない」というトラブルがアナウンスされている。

 具体的には,「Windows Update」サイトで公開された「Microsoft Knowledge Base 818043『L2TP/IPSec NAT-T Update for Windows XP and Windows 2000』」向けの Windows XP 用推奨パッチを適用すると,ネットワークに接続できなくなるという。

 現時点(6月1日)では,マイクロソフトは問題を調査中であるとアナウンスしている。問題が発生したシステムでは,修正パッチをアンインストールすることで問題を解消できる。アンインストールの手順は「トラブル・メンテナンス速報」に記載されているので参考にしてほしい。



マイクロソフト セキュリティ情報一覧

『Internet Information Server 4.0,Internet Information Services 5.0/5.1』
Internet Information Service 用の累積的な修正プログラム (811114) (MS03-018)
 (2003年 5月29日:日本語情報および日本語版パッチ公開,最大深刻度 : 重要)

『Windows NT 4.0 Server / 2000 Server』
Windows Media サービスの ISAPI エクステンションの問題により,サービス拒否が起こる (817772) (MS03-019)
 (2003年 6月 1日:「脆弱性の影響」が「攻撃者の任意のコードが実行される可能性があります」に変更。併せて,最大深刻度が「警告」から「重要」に引き上げ)
 (2003年 5月29日:日本語情報および日本語版パッチ公開,最大深刻度 : 警告)

『Windows NT 4.0/2000/XP』
Windows カーネル メッセージ処理のバッファ オーバーランにより,権限が昇格する (811493) (MS03-013)
 (2003年 5月29日:パフォーマンス問題を修正した XP SP1 用パッチが公開)
 (2003年 5月 1日:パフォーマンス問題に関するサポート技術情報の日本語版が公開)
 (2003年 4月28日:パフォーマンス問題に関するサポート技術情報[英語情報]へのリンクが追加)
 (2003年 4月24日:XP SP1 用パッチの適用で発生するパフォーマンス問題を公開)
 (2003年 4月17日:日本語情報および日本語版パッチ公開,最大深刻度 : 重要)

『Windows NT 4.0/NT 4.0 Terminal Server Edition/2000/XP』
Windows コンポーネントの未チェックのバッファにより Web サーバーが侵害される (MS03-007)
 (2003年 5月29日:Windows XP も影響を受けることを追記。併せて,XP 用のパッチを公開)
 (2003年 5月29日: 「よく寄せられる質問」に,IIS 5.1 に関する情報が追加)
 (2003年 4月24日:Windows NT 4.0 も影響を受けることを追記。併せて,NT 4.0/NT 4.0 Terminal Server Edition 用のパッチを公開)
 (2003年 3月18日:日本語情報および日本語版パッチ公開,最大深刻度 : 緊急)


山下 眞一郎(Shinichiro Yamashita)
株式会社 富士通南九州システムエンジニアリング
第一ソリューション事業部ネットソリューション部 プロジェクト課長
yamaアットマークbears.ad.jp


 「今週のSecurity Check [Windows編]」は,IT Proセキュリティ・サイトが提供する週刊コラムです。Windows関連のセキュリティに精通し,「Winセキュリティ虎の穴」を運営する山下眞一郎氏に,Windowsセキュリティのニュースや動向を分かりやすく解説していただきます。(IT Pro編集部)

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る