Microsoftは、IIS 5.0から6.0に影響のある未パッチの脆弱性を標的にした攻撃コードが公開されたことに対応する、セキュリティ対応プロセスを始動した。
同社は、この脆弱性について認め、顧客に対し問題の緩和策を提供する、公式なパッチ前アドバイザリを公開した。
インターネット インフォメーション サービス (IIS) に存在する可能性のある新たな脆弱性が報告され、マイクロソフトはその報告を調査中です。IIS の WebDAV 拡張が HTTP のリクエストを処理する方法に特権の昇格の脆弱性が存在します。攻撃者がこの脆弱性を悪用した場合、特別に細工した匿名の HTTP リクエストを作成し、通常は認証が必要な場所へアクセスできる可能性があります。
マイクロソフトは現時点で、この報告された脆弱性を悪用しようとする攻撃またはお客様が影響を受けたという報告を受けていません。マイクロソフトは、この一般に公開された報告を調査しています。
影響のあるソフトウェアは以下の通りだ。
- Microsoft Internet Information Services 5.0
- Microsoft Internet Information Services 5.1
- Microsoft Internet Information Services 6.0
Microsoftのアドバイザリが公開されたのは、「Kingscope」として知られるハッカーが、いくつかのメーリングリストにこの脆弱性の詳細(.PDF)を公開してからわずか数日後だ。
Thierry Zoller氏は、この問題に関して詳細な覚え書きを作っている。
- WebdavはデフォルトではIIS6では有効になっておらず、IIS7+Webdavには影響がない。
- IIS 5とIIS 5.1には、どちらも影響がある。
- Webdavを有効にするとすべてのウェブサイトに適用され、サイトごとに有効にする必要はない。
- WebdavのフォルダにIUSR_anonymousの書き込みアクセス権が設定されている場合、そのウェブサーバに実際にコンテンツをアップロードすることができる。(このアカウントが他のフォルダに対するアクセス権を持っている場合、それらのフォルダにもアップロードすることができる)
- この問題は、2001年のIIS 4/5に関するUnicodeバグに似ているが、まったく同じではない。
- GETリクエストには「Translate:f」ヘッダが必要であり、PROPFINDはTranslateオプションなしでも動作する。
この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。 原文へ
