Windows Server 2003 R2 のインターネット インフォメーション サービス(IIS)6.0に、リモートより任意のコードが実行可能な脆弱性(CVE-2017-7269)及び、その脆弱性を利用する攻撃コードが発見されました。
本脆弱性は、IIS 6.0の拡張サービスである WebDAV(※)の「PROPFIND」リクエスト受信時の処理に起因するバッファオーバーフローの脆弱性で、この脆弱性を利用した攻撃が成立した場合、リモートから IIS の実行権限で任意のコードを実行される危険性があります。
本レポート作成(2017年4月3日)時点において、本脆弱性の影響を受ける可能性がある IIS を含む Windows Sever 2003 R2 は、開発元のサポートがすでに終了 (2015年7月14日終了)しているため、本脆弱性を修正するプログラムがリリースされない可能性が高いこと、また攻撃を成立させるためのコードが容易に入手可能であり、かつ脆弱性に対する攻撃が容易であること、加えて攻撃を受けた際にシステムへの影響が大きいことから、今回、この脆弱性(CVE-2017-7269)の再現性について検証を行いました。
※ HTTP を拡張し、Web クライアントから Web サーバーのフォルダやファイルの管理を行えるようにするプロトコル
本脆弱性の影響を受ける可能性がある IIS を含む Windows Sever 2003 R2は、開発元のサポートがすでに終了しているため、本脆弱性を修正するプログラムはリリースされない可能性が高いと判断できます。可能な限り迅速に現在サポート中の OS へとアップデートしてください。それまでの暫定回避策としては、WebDAV サービスを無効化、代替サービスへと変更することを推奨いたします。
WebDAV サービスを無効化する手順は以下の通りです。
CVE-2017-7269
NVD - CVE-2017-7269
TrendLabs Security Intelligence Blog IIS 6.0 Vulnerability Leads to Code Execution
攻撃者は、ターゲットシステムで動作する IIS へ細工したリクエストを送信することにより、ターゲットシステムの脆弱性を利用して任意のコードを実行させます。
今回の検証に用いたコードは、ターゲットシステム上から特定のサーバー、ポートへコネクションを確立させるよう誘導し、システム制御を奪取するものです。これにより、リモートから IIS の実行権限でターゲットシステムが操作可能となります。
※ 誘導先のシステムは Linux です。
Windows Server 2003 R2 + IIS 6.0
下図は、誘導先のコンピュータ(Linux)の画面です。黄線で囲まれた部分は、誘導先のホストの情報です。一方で、赤線で囲まれている部分は、ターゲットシステム(Windows Server 2003 R2)において、ユーザーの情報、IP アドレスの情報を表示するコマンドを実行した結果が表示されています。
これにより、ターゲットシステムで任意のコマンドを実行することに成功したと判断できます。
2017年4月3日 : 初版公開
脆弱性調査レポートのメール配信を開始しました!
ご好評いただいている「脆弱性調査レポート」ですが、コンテンツの都合上、レポートの発行は不定期です。そこで、新しい脆弱性調査レポートを発行するたびに最新情報をメールでお届けする「脆弱性調査レポート メール」の配信を開始しました。ぜひご登録ください。
「脆弱性調査レポート メール」の配信登録はこちら
本件に関するお問い合わせ先
『報道関係者様からのお問い合わせ』 ソフトバンク・テクノロジー株式会社 管理本部 経営企画部 齊藤、安部、菅 メールアドレス:sbt-pr@tech.softbank.co.jp |
『お客様からのお問い合わせ』 下記問い合わせフォームよりお問い合わせください。 |