【SecureIIS Web(2)】〜IISへの攻撃を自動的にシャットアウト〜(執筆:Port139 伊原秀明) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.24(火)

【SecureIIS Web(2)】〜IISへの攻撃を自動的にシャットアウト〜(執筆:Port139 伊原秀明)

特集 特集

▽編集部より
 膨大な被害を及ぼしたNimdaやCodeRedなど、マイクロソフトのIISをター
ゲットとしたワームが多く発生している。これらのワームへの対策としてはIISのセキュリティホールへのパッチあてが必須となってくるが、そのためには頻繁な情報チェックなどの作業が必要となり、その作業は管理者に大きな負担となる。
 今回、CodeRedを世界で初めて発見した事で有名なeEye Digital Security社が開発した「SecureIIS Web」はIISの既知および未知のセキュリティホールを狙った攻撃に対応可能であるとのこと。はたしてこのソフトがどこまでの対応が可能であるのかを、WindowsNTに関するセキュリティでは定評のあるPort139の伊原秀明 氏に検証していただいた。
 なお、SecureIIS Webの販売に関しては、下記URLをご覧下さい。
http://vagabond.co.jp/cgi-bin/order/mpid01.cgi?siis_scan
―――――――――――――――――――――――――――――――――――(前回よりの続き)

<バッファオーバーフローへの対処>

 SecureIISでは、IISへ渡されるリクエストの長さを制限することができる。
SecureIISでは単純にURLとして渡される文字列の長さによる制限を行うだけでなく、クエリー毎に許可する長さを変更することができるようになっている。
 デフォルトではURLの長さとしてデフォルトでは1024が指定されており、これより長い文字列がURLに含まれる場合にはリクエストを拒否し警告ページを表示することができる。
 例えば、CodeRedでは1024よりは短いが、以下のように長い文字列を送信してくる。

GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%
u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

 例にあげたCodeRedのリクエストは全体としては1024より短いが、SecureIISのデフォルトではクエリー文字列の最大値として128バイトに制限されてい
る。この為、CodeRedのリクエストはこの最大値により制限を受け拒否されることになる。

 実際に上記リクエストをSecureIISのインストールされたIIS 5.0に送信した場合に記録されるSecureIISのログは以下のようになり拒否されていることが確認できる。

Failed in VerifyBufferSize(QUERY - querysize-lastvar:360 /
allowedsize: 128): XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%U9090%U6858%UCBD3%U7801%U9090%U6858%UCBD3%U7801%U9090%U6858%UCBD3%U7801%U9090%U9090%U8190%U00C3%U0003%
U8B00%U531B%U53FF%U0078%U0000%U00=A

 さらにSecureIISでは、CodeRedのように文字列全体としてはそれほど長くない場合でもバッファオーバーフローが発生してしまうようなケースへも、シェルコード保護などにより対処できるようになっている。

 特に文字列の長さについては、利用するCGIなどのアプリケーションによっては1024より長くなるケースも考えられるが、必要となる文字列の長さがデフォルト値より短いとわかっている場合などはあらかじめその値まで制限しておいた方がより安全である。

 バッファオーバーフローへの対策の為に文字列長を制限できる項目は多岐に渡るが、例えばクエーリーとして許可する文字列の長さや、CookieやUser-
Agent、Hostなどのヘッダ値についても最大値を設定することができる。


<シェルコード保護>

 SecureIISではCodeRedのように設定された値より短い長さでバッファオーバーフローが発生するようなケースでも、リクエストに含まれる文字列にシェルコードが含まれていないかをチェックすることで、IISを保護することができるようになっている。

Port139 伊原 秀明
http://www.port139.co.jp/

(詳しくはScan本誌をご覧ください)
http:/www.vagabond.co.jp/vv/m-sc.htm


《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  8. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第5回「ウソも方便」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第6回 「川辺」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×