検索:
ホーム   »   脆弱性   »   Microsoft IIS 6.0のゼロデイ脆弱性、遠隔で任意のコード実行が可能に

Microsoft IIS 6.0のゼロデイ脆弱性、遠隔で任意のコード実行が可能に

  • 投稿日:2017年3月31日
  • 脅威カテゴリ:脆弱性, TrendLabs Report
  • 執筆:Vulnerability Researcher - Virendra Bisht
0

Microsoft IIS 6.0のゼロデイ脆弱性、遠隔で任意のコード実行が可能に

Microsoft Internet Information Services(IIS)6.0 に、バッファオーバーフローのゼロデイ脆弱性「CVE-2017-7269」が確認されました。PROPFIND リクエストのヘッダー「IF」の検証不備に起因するものです。

遠隔の攻撃者は、メソッド「PROPFIND」を用いて細工したリクエストを利用することにより、IIS の WebDAVコンポーネントに存在する脆弱性を突くことが可能になります。脆弱性の利用に成功すると、アプリケーションを実行しているユーザのコンテキスト内で、攻撃者により任意のコードが実行される可能性があります。また、脆弱性の利用が成功しなかった場合でも、「サービス拒否(Denial of Service、DoS)」の状態に陥る恐れがあります。この脆弱性を確認したリサーチャの報告によると、2016年7月または8月にこの脆弱性を利用した攻撃が確認されています。また、この脆弱性について 2017年3月27日に公表された際に、「Proof-of-concept(PoC、概念実証型エクスプロイト。実際に有効な攻撃ができることを実証している攻撃コード)」が公開されています。現在、サイバー犯罪者は、この公開コードにもとづいて、不正なコードの作成段階にあると考えられます。

■WebDAVについて
「Web Distributed Authoring and Versioning(WebDAV)」とは、クライアントがリモートで Webコンテンツの作成や管理などの操作を可能にする HTTPプロトコルの拡張機能です。WebDAVは、HTTPリクエストに許可されている標準HTTPメソッドとヘッダーのセットを拡張します。WebDAVメソッドの例として、「COPY」、「LOCK」、「MKCOL」、「PROPFIND」、「UNLOCK」などが挙げられます。

今回確認された脆弱性は、メソッド「PROPFIND」と IFヘッダーを用いて利用されます。メソッド「PROPFIND」は、「Request-URI」によって指定されるリソースで設定されたプロパティを取得します。すべての WebDAV準拠のリソースは、メソッド「PROPFIND」をサポートしている必要があります。

IFヘッダーは「状態トークン」と「ETag」を処理します。トークンと ETagを特定のリソースに一致させた、一連の状態リストを提供することによって、リクエストを条件付きにします。IFヘッダーに示されるすべての状態が失敗すると、状態コード「412(Precondition Failed)」でリクエストが失敗します。

簡単な PROPFINDリクエストを以下に示します。

図1:
図1:PROPFINDリクエスト

IFヘッダーの典型的な構文の例:

If: <http://www.example.com/resource1> (<locktoken:Test1>) ([“ETag”]) <http://www.example.com/random>([“ETag”])

■脆弱性の説明
この脆弱性は典型的なバッファオーバーフローの脆弱性です。リサーチャによれば、影響を受けるシステムは Windows 2003と IIS version 6.0と報告されています。この脆弱性は、IFヘッダー内に2つ以上の HTTPリソースがあり、PROPFINDリクエストの IFヘッダーが過大である場合に、悪用される恐れがあります。攻撃者が脆弱性を突くことに成功した場合、リモートでコードを実行することが可能になります。また、成功しなかった場合でも、サービス拒否の状態に陥る恐れがあります。

■トレンドマイクロの対策
IIS 6.0はWindows Server 2003に標準で搭載されていました。しかし 残念ながら、Microsoftによるサポートは終了しており、旧バージョンの OSのための更新プログラムが公開されることはありません。リスクを軽減するには、脆弱性を抱える IIS 6.0をインストールする際に、WebDAVサービスの機能を無効にすることを推奨します。新しいバージョンの Windows Serverに付属している IIS 7.0以降については、この脆弱性の影響を受けることはありません。

サーバ向け総合セキュリティ製品「Trend Micro Deep Security™」をご利用のお客様は、以下の DPIルールによってこの脆弱性を利用する脅威から保護されています。

  • 1008266 – Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow Vulnerability (CVE-2017-7269)

ネットワーク型対策製品「Deep Discovery™ Inspector」は、以下の DDIルールによってこの脅威を検知します。

  • Rule 2357 – CVE-2017-7269-HTTP_WEBDAV_BUFFER_OVERFLOW_

ネットワークセキュリティ対策製品「TippingPoint」では、以下の Custom Shield Writer(CSW)により今回の脅威をブロックします。

  • CSW: HTTP: Microsoft IIS ScStoragePathFromUrl Buffer Overflow Vulnerability (CVE-2017-7269)

※調査協力:Ziv Chang

参考記事:

  • 「IIS 6.0 Vulnerability Leads to Code Execution」
    by Virendra Bisht (Vulnerability Researcher)

翻訳:室賀 美和(Core Technology Marketing, TrendLabs)

Related posts:

  1. Adobe、Flash Playerに存在するゼロデイ脆弱性へのセキュリティ情報を公開
  2. Windowsゼロデイ脆弱性「CVE-2014-4114」利用したサイバー攻撃「Sandworm」を解析
  3. Adobe、Flash Playerへのゼロデイ攻撃発生を受け緊急更新プログラムを公開
  4. 「Pawn Storm作戦」で利用されたFlash Playerの脆弱性、Adobeの緩和策を回避
Tags: ゼロデイ脆弱性


関連ホワイトペーパー

    • 個人のお客さま向けオンラインショップ
    • |
    • 法人のお客さま向け直営ストア
    • |
    • 販売パートナー検索
    • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
    • Latin America Region (LAR): Brasil, México
    • North America Region (NABU): United States, Canada
    • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
    • 電子公告
    • ご利用条件
    • プライバシーポリシー
    • Copyright © 2017 Trend Micro Incorporated. All rights reserved.