不要な場合はFTPサービスの停止を

IISのFTPサービスに脆弱性、NTTデータ・セキュリティが検証

2009/09/03

 マイクロソフトは9月2日、IISに脆弱性があるとし、回避策を示したセキュリティアドバイザリ(975191)を公開した。これはIISのFTPサービスの脆弱性(CVE-2009-3023)に対するもので、FTPサービスにログインできる状況で、かつそのユーザーが書き込み可能な権限を持っている場合に、外部から悪意あるプログラムがシステム内にインストールされる可能性がある。9月2日の時点では修正プログラムはリリースされていない。

 CVE-2009-3023の影響を受けるシステムはWindows 2000 SP4のIIS5.0/Windows XP SP2のIIS5.1/Windows Server 2003 SP2のIIS 6.0など。Windows Vista/Windows Server 2008のIIS7.0は今回の脆弱性の影響は受けない。

CVE-2009-3023の影響を受けるソフトウェア
オペレーティング システム コンポーネント
Microsoft Windows 2000 Service Pack 4 Microsoft Internet Information Services 5.0
Windows XP Service Pack 2 および Windows XP Service Pack 3 Microsoft Internet Information Services 5.1
Windows XP Professional x64 Edition Service Pack 2 Microsoft Internet Information Services 6.0
Windows Server 2003 Service Pack 2 Microsoft Internet Information Services 6.0
Windows Server 2003 x64 Edition Service Pack 2 Microsoft Internet Information Services 6.0
Windows Server 2003 with SP2 for Itanium-based Systems Microsoft Internet Information Services 6.0

 セキュリティ診断を行うNTTデータ・セキュリティは、この脆弱性の検証レポートを同日に公開した。このレポートでは、ターゲットシステムのFTPサーバに対し、一般ユーザーもしくは匿名ユーザーでログインし、細工したFTPコマンドを実行することで、バッファオーバーフローが発生。IIS実行権限のある新規ユーザーを作成できるとしている。この新規ユーザーのアカウントを利用してリモートデスクトップでログインすることで、システムの制御も行えてしまう。

NTTデータ・セキュリティが行った検証イメージ NTTデータ・セキュリティが行った検証イメージ

 同レポートではこの対策として、修正プログラムが出ていない現状では不要なFTPサービスの無効化、匿名接続の無効化を行うべきだとしている。また、パスワードがユーザー名と同一などの脆弱なユーザーが存在しないか、不要なユーザーが存在しないかを確認することが推奨されている。

関連リンク

関連記事

(@IT 宮田 健)

情報をお寄せください:



Security&Trust フォーラム 新着記事

注目のテーマ

Security & Trust 記事ランキング

本日 月間
@IT