編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」

マイクロソフトのIISに含まれているFTPの脆弱性に対する攻撃が進行中

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2009-09-06 20:28

 MicrosoftのInternet Information Services(IIS)のFTPサービスが持つ重大な脆弱性に対する攻撃コードが発表されてから1週間も経たたないうちに、Windowsユーザーに対する攻撃が始まった。

 アドバイザリでは影響範囲は「限定的」だと説明されているこの攻撃は、IIS 5.0、5.1、6.0を使っている企業を標的としたものだ。Microsoftは同社のセキュリティアドバイザリを更新し、この新たな攻撃と、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008を標的とした概念実証コードが新たに公開されたことについて警告している。

(参照:Microsoft confirms IIS zero-day flaw; Exploit code published

 MSRCブログには、次のように書かれている。

 さらに、File Transfer Protocol(FTP)サービスへの読み取りアクセスを許可しているWindows XPおよびWindows Server 2003へのサービス妨害(DoS)攻撃を可能にする、新たな概念実証コードが公開されている。これは書き込みアクセス権を必要としない。また、本日の午後、Windows VistaおよびWindows Server 2008に同梱されているFTP 6のバージョンに対し影響のある、DoSを可能にする新たな概念実証コードが公開された。顧客はダウンロードセンターでWindows VistaおよびWindows Server 2008用のFTP 7.5が提供されていることに注意して欲しい。FTP 7.5はこれらの攻撃コードへの脆弱性は持っていない。

 Microsoftは米国時間9月1日に、この脆弱性の深刻さを認めるアドバイザリを公開した。この脆弱性は、FTPサービスを動かしており、インターネットに接続している影響を受けるシステムでリモートからのコードの実行を可能にするものだ。

(参照:Patch Tuesday heads-up: Five 'critical' bulletins on tap

 この脆弱性は、「Kingcope」という名前のハッカーによって公開されたゼロデイ脆弱性で、名前の長い、特別に作成されたディレクトリ名をFTPサービスで表示しようとする際に、スタックオーバーフローが生じるというものだ。この脆弱性は、FTPサーバーが、信頼できないユーザーに対し、ログインと名前の長い特別に作成されたディレクトリを作成するアクセス権を与えている場合にのみ問題となる。攻撃者がこの脆弱性を悪用することができれば、FTPサービスが実行されるLocalSystemのコンテキストでコードを実行することが可能になる。

 MicrosoftはIIS 5.0(Windows 2000)、IIS 5.1(Windows XP)およびIIS 6.0(Windows Server 2003)に脆弱性のあるコードが存在することを認めている。IIS 7.0(Windows Vista、Windows Server 2008)には脆弱性はない。

 パッチがまだ出ていない状態である現在、Microsoftは管理者に対し信頼できないユーザーにFTPサービスへの書き込みアクセスを与えないよう推奨している。アドバイザリでは、次の手順が説明されている。

  • FTPサービスが不要な場合には、FTPサービスを無効にする。
  • NTFSのアクセスコントロールリストを使って、新しいディレクトリの作成を禁止する。
  • 匿名ユーザーがIISサービスを通じて書き込みを行うことを禁止する。

 Microsoftは次回の月例パッチで、Windowsに影響のある、任意のコードが実行される可能性のあるセキュリティホールを修正する5件の「緊急」のセキュリティ情報を公開する予定だ。IISのFTPに存在する脆弱性が今回のパッチ群に含まれているかどうかは明らかになっていない。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    Google Cloudセキュリティ基盤ガイド、設計から運用までのポイントを網羅

  2. セキュリティ

    仮想化・自動化を活用して次世代データセンターを構築したJR東日本情報システム

  3. ビジネスアプリケーション

    スモールスタート思考で業務を改善! 「社内DX」推進のためのキホンを知る

  4. セキュリティ

    Emotetへの感染を導く攻撃メールが多数報告!侵入を前提に対応するEDRの導入が有力な解決策に

  5. セキュリティ

    偽装ウイルスを見抜けず水際対策の重要性を痛感!竹中工務店が実施した2万台のPCを守る方法とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]