◆概要: マイクロソフト社のInternet InformationServices (IIS)ウェブサーバーで報告されているバグが原因で、サーバーの内部IPアドレス、NetBIO名、及びそのドメインが暴露され、攻撃者がユーザーのアカウントに総当たり攻撃を仕掛ける可能性がある。 あるリソースへ匿名アクセスが可能な場合でも、IISにユーザー認証を強制させることができる。IISに認証情報を提供することにより、ウェブサーバーはユーザー認証を試みる。認証に失敗した場合、サーバーは“401 Access Denied”メッセージを返すはずである。使用される認証メカニズムによって、色々なな情報にアクセスできる。 Basic Authenticationが使われているかどうかを確認するには IISに対して以下のような認証ヘッダーを含んだ要求を発行する。 GET / HTTP/1.1 Host: iis-server Authorization: Basic cTFraTk6ZDA5a2xt サーバーが“401 Access Denied”メッセージで応答した場合は、Basic Authenticationが有効となっている。一方、“200 OK”のメッセージを返した場合は、Basic Authenticationをサポートしていない可能性が高い。 NTLM Authenticationが使われているかどうかを確認するには、IISに対して以下のような認証ヘッダーを含んだ要求を発行する。 GET / HTTP/1.1 Host: iis-server Authorization: NegotiateTlRMTVNTUAABAAAAB4IAoAAAAAAAAAAAAAAAAAAAAAA= サーバーが“401 Access Denied”メッセージで応答した場合は、サーバーがNTLM Authenticationをサポートしている。一方、“200 OK”のメッセージを返した場合は、NTLM Authenticationをサポートしていない。 上記いずれかの認証方法が利用されている場合、攻撃者はデフォルトの「管理者」アカウントを含む、全てのシステムアカウントに対し総当たり攻撃を実行することができる。 Basic Authenticationがサポートされている場合、クライアントのHost HTTPヘッダーに入力される項目が、「Realm」(領域)として使われる。クライアントが認証情報を入力する必要がある場合は、Realm情報がクライアントに送信される。一方、Host HTTP ヘッダーのフィールドを空白にした場合は、サーバーのIPアドレスがRealmとして使用される。Network AddressTranslation (NAT)を利用したファイアウォールによってIISに内部IPアドレスが割り当てられている場合は、この内部IPアドレスがクライアントに送信されてしまう。 また、NTLM Authenticationがサポートされている場合、攻撃者はサーバーのNetBIOS名とそのドメインを知ることができる。クライアントが認証要求をした場合、この情報は Base64でエンコードされたテキストとして返される。◆情報ソース:・ NGSSoftware Insight Security Research(Advisory # NISR04032002,http://www.nextgenss.com/advisories/iisauth.txt),March 04, 2002◆分析: (iDEFENSE 米国) 攻撃者は、総当たり攻撃によってアカウントの辞書攻撃を実行し、高度な権限を持つアカウントにアクセスする可能性がある。一方、情報漏洩バグの危険性はさほど高くないが、入手した情報を利用してファイアウォールで保護されている全ノードの内部アドレススキームを識別できるため、さらなる攻撃につながる可能性がある。◆検知方法: Windows NT 4.0、2000、XPで作動するIIS 4、5および5.1 が影響を受ける。◆暫定処置: アカウントのロックアウトポリシーを設定することによって、総当たり攻撃の被害を軽減することができる。まず、Passprop ユーティリティの利用を推奨する。通常、総当たり攻撃の実行中は、管理者アカウントをロックアウトすることはできない。しかし、Windows2000 Resource Kit に含まれるpassprop ユーティリティは、ネットワーク上の管理者アカウントへのログオンに対するロックアウトをサポートしている。 “Securing IIS 5.0 Using Batch-Oriented CommandFiles”と題された記事によれば、マイクロソフト社はこのユーティリティについて次のように発表している。 「以下のコマンドは、ハッカーが総当たり攻撃や辞書攻撃を試みた場合に、管理者アカウントをネットワークアクセスからロックアウトする。しかし、管理者は、次のアカウントを使ってサーバーにローカル環境でログオンすることができる。 passprop /adminlockout /complex また、この設定により、複雑なパスワードが必要になる。複雑なパスワードとは、大文字・小文字それぞれ最低1文字と、数字または特殊文字を組み合わせたものである」 尚、IPアドレスの暴露を防ぐには、以下の手順に従う。1. コマンドプロンプトを開き、現在のディレクトリーをc:inetpubadminscripts、またはadminscriptsのある場所に変更する。2. 以下のコマンドを実行する。・ adsutil set w3svc/UseHostName True・ net stop iisadmin /y・ net start w3svc このコマンドにより、IISにIPアドレスでなく、コンピューターのホスト名を使用させることができる。※この情報はアイ・ディフェンス・ジャパン ( http://www.idefense.co.jp/ )より提供いただいております。 情報の内容は以下の時点におけるものです。 【12:28 GMT、03、06、2002】
