最終更新日：2001年 7月30日
(7月18日 関連情報 2 の記述を追加)
(7月30日 関連情報 3 の記述を追加)

Index Server ISAPI エクステンションの未チェックのバッファにより

Web サーバーが攻撃される問題について

概要

米マイクロソフト社は、6月18日に Internet Information Server (IIS) の脆弱性に関する 新しい情報 (MS01-033)を公表しました。このセキュリティ脆弱性は、IIS から Index Server または Index Service 機能を呼び出す ISAPI エクステンションの脆弱性であり、攻撃者やワームにリモートから任意のコードの実行を許してしまうというリスクが生じています。このセキュリティ脆弱性のリスクは下記の理由で高いといえます。

• 既に攻略コードが作成されており、これを利用したワームが広がりはじめている
• ほとんどの IIS に影響がある
• Web アクセスでの攻撃のためファイヤーウォールでは防ぐことができない
• ローカルシステム権限でのコード実行を許すため、Web 改ざんに留まらず完全に制御を奪われる可能性がある

対象マシン

IIS 4.0 または IIS 5.0 が動作しているすべてのマシン

対処

Microsoft社が公開している修正プログラムを適用してください。
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-033

セキュリティを高めるための対策

不要なスクリプトマッピング(拡張子と ISAPI エクステンションの対応)を削除し、 不要な ISAPI エクステンションを使用できないようにすることで耐性を高めることができます。
対策手順は以下を参照してください。

• 小規模サイト管理者向けセキュリティ対策マニュアル 3.6.2 Microsoft Webサービスのセキュリティ設定
  http://www.ipa.go.jp/security/fy12/contents/crack/soho/soho/chap3/http/wwwsvc.html
• Internet Information Services 5 セキュリティのチェックリスト
  http://www.microsoft.com/JAPAN/technet/security/iis5chk.asp
• Microsoft Internet Information Server 4.0 セキュリティ チェックリスト
  http://www.microsoft.com/japan/technet/security/checklist.asp

ただし、システムコンポーネントの追加・削除時に自動的に スクリプトマッピングが再作成されてしまうことがあるので注意が必要です。

脆弱性の詳細

Index Server (Windows 2000 では Index Service) の ISAPI エクステンション を提供するDLL (idq.dll) のユーザ入力を処理する部分でバッファをチェックしていないコード があるため、 バッファオーバーフロー攻撃を可能にしています。

バッファーオーバーフローは index 機能の処理の前に発生するため、 必ずしも Index Server/Index Service が実行されている必要はありません。 拡張子 .idq または .ida のスクリプトマッピングがある限り 攻撃を受けてしまいます。

また、バッファーオーバーフローは、idq.dll がシステムコンテキストで 実行中に起こるため、攻撃者の選択したコマンドはローカルシステム権限 で実行され、事実上どんなことでもできてしまいます。

この脆弱性は Index Server または Index Service をインストールして いなければ問題ないのですが、IIS のデフォルトのインストールに含まれる ため多くの IIS インストールがこの脆弱性を持つ思われます。

関連情報 1

Index Server 関連の脆弱性には、 MS01-025 『Index Server の検索機能が未チェックのバッファを含む』 がありますが、この場合、攻撃者はサーバーに対して認証を行う ことができ、サーバーに名前付きパイプ接続を作成できることが必要です。 そのため、ファイヤーウォールで NetBIOS アクセスが止められていれば、 外部からの攻撃はできません。

一方、MS01-033 は不正な URL を使うものなのでファイアウォールでは 止められません。 また、MS01-033 用の修正パッチは MS01-025 用の修正パッチを 置き換えるものではありません。

関連情報 2

この脆弱性を突くワーム "Code Red" が広がりはじめているようです。 ワームは自動的かつ無差別に Web サーバをスキャンするので早急な対策が必要です。

攻略された Web サーバはホームページを改ざんされ、更に感染したワームに よって他の Web サーバに対して攻撃する加害者となります。

Code Redワームに関しては、関連情報 3もご覧下さい。

関連情報 3

日本時間で 2001/08/01 9:00 以降、感染力が強化された Code Red ワームが猛威を振るう危険性があります。

このワームが多数のマシンに感染し、それぞれが更に感染行動をすることによって、インターネット全体に影響を与える可能性があります。 特に、個人管理やSOHO で使用しているなどで管理の行き届いていないサーバの感染が被害を増幅させることになります。 そのため、自らのマシンにパッチを当てて対処をするだけでなく、広く呼びかけて周知してもらうようお願いします。

本件に関する詳しい情報は、以下を参照ください。

緊急対策情報： 8月1日までに対処を「Code Red ワームに関する情報」

参考情報

• MS01-033 Index Server ISAPI エクステンションの未チェックのバッファにより Web サーバーが攻撃される
  http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-033
• MS01-033 Unchecked Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise
  http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
• eEye Advisory AD20010618 All versions of Microsoft Internet Information Services Remote buffer overflow (SYSTEM Level Access)
  http://www.eeye.com/html/Research/Advisories/AD20010618.html
• CERT Advisory CA-2001-13 Buffer Overflow In IIS Indexing Service DLL
  http://www.cert.org/advisories/CA-2001-13.html
• CVE CAN-2001-0500
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0500
• Web 改ざん多発、Webサーバーソフトウェアにセキュリティパッチを http://www.ipa.go.jp/security/ciadr/webjack_a.html
• 小規模サイト管理者向けセキュリティ対策マニュアル http://www.ipa.go.jp/security/fy12/contents/crack/soho/soho-keiji.html

                Copyright © 2001 Information-technology Promotion Agency, Japan. All rights reserved.