Microsoft Internet Information Services(IIS)6.0 に、バッファオーバーフローのゼロデイ脆弱性「CVE-2017-7269」が確認されました。PROPFIND リクエストのヘッダー「IF」の検証不備に起因するものです。
遠隔の攻撃者は、メソッド「PROPFIND」を用いて細工したリクエストを利用することにより、IIS の WebDAVコンポーネントに存在する脆弱性を突くことが可能になります。脆弱性の利用に成功すると、アプリケーションを実行しているユーザのコンテキスト内で、攻撃者により任意のコードが実行される可能性があります。また、脆弱性の利用が成功しなかった場合でも、「サービス拒否(Denial of Service、DoS)」の状態に陥る恐れがあります。この脆弱性を確認したリサーチャの報告によると、2016年7月または8月にこの脆弱性を利用した攻撃が確認されています。また、この脆弱性について 2017年3月27日に公表された際に、「Proof-of-concept(PoC、概念実証型エクスプロイト。実際に有効な攻撃ができることを実証している攻撃コード)」が公開されています。現在、サイバー犯罪者は、この公開コードにもとづいて、不正なコードの作成段階にあると考えられます。
■WebDAVについて
「Web Distributed Authoring and Versioning(WebDAV)」とは、クライアントがリモートで Webコンテンツの作成や管理などの操作を可能にする HTTPプロトコルの拡張機能です。WebDAVは、HTTPリクエストに許可されている標準HTTPメソッドとヘッダーのセットを拡張します。WebDAVメソッドの例として、「COPY」、「LOCK」、「MKCOL」、「PROPFIND」、「UNLOCK」などが挙げられます。
今回確認された脆弱性は、メソッド「PROPFIND」と IFヘッダーを用いて利用されます。メソッド「PROPFIND」は、「Request-URI」によって指定されるリソースで設定されたプロパティを取得します。すべての WebDAV準拠のリソースは、メソッド「PROPFIND」をサポートしている必要があります。
IFヘッダーは「状態トークン」と「ETag」を処理します。トークンと ETagを特定のリソースに一致させた、一連の状態リストを提供することによって、リクエストを条件付きにします。IFヘッダーに示されるすべての状態が失敗すると、状態コード「412(Precondition Failed)」でリクエストが失敗します。
簡単な PROPFINDリクエストを以下に示します。
図1:PROPFINDリクエスト
IFヘッダーの典型的な構文の例:
If: <http://www.example.com/resource1> (<locktoken:Test1>) ([“ETag”]) <http://www.example.com/random>([“ETag”])
■脆弱性の説明
この脆弱性は典型的なバッファオーバーフローの脆弱性です。リサーチャによれば、影響を受けるシステムは Windows 2003と IIS version 6.0と報告されています。この脆弱性は、IFヘッダー内に2つ以上の HTTPリソースがあり、PROPFINDリクエストの IFヘッダーが過大である場合に、悪用される恐れがあります。攻撃者が脆弱性を突くことに成功した場合、リモートでコードを実行することが可能になります。また、成功しなかった場合でも、サービス拒否の状態に陥る恐れがあります。
■トレンドマイクロの対策
IIS 6.0はWindows Server 2003に標準で搭載されていました。しかし 残念ながら、Microsoftによるサポートは終了しており、旧バージョンの OSのための更新プログラムが公開されることはありません。リスクを軽減するには、脆弱性を抱える IIS 6.0をインストールする際に、WebDAVサービスの機能を無効にすることを推奨します。新しいバージョンの Windows Serverに付属している IIS 7.0以降については、この脆弱性の影響を受けることはありません。
サーバ向け総合セキュリティ製品「Trend Micro Deep Security™」をご利用のお客様は、以下の DPIルールによってこの脆弱性を利用する脅威から保護されています。
- 1008266 – Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow Vulnerability (CVE-2017-7269)
ネットワーク型対策製品「Deep Discovery™ Inspector」は、以下の DDIルールによってこの脅威を検知します。
- Rule 2357 – CVE-2017-7269-HTTP_WEBDAV_BUFFER_OVERFLOW_
ネットワークセキュリティ対策製品「TippingPoint」では、以下の Custom Shield Writer(CSW)により今回の脅威をブロックします。
- CSW: HTTP: Microsoft IIS ScStoragePathFromUrl Buffer Overflow Vulnerability (CVE-2017-7269)
※調査協力:Ziv Chang
参考記事:
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)