IIS認証メカニズムにおける、総当たり攻撃・情報漏洩の危険性 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.14(木)

IIS認証メカニズムにおける、総当たり攻撃・情報漏洩の危険性

国際 海外情報

◆概要:
 マイクロソフト社のInternet InformationServices (IIS)ウェブサーバーで報告されているバグが原因で、サーバーの内部IPアドレス、NetBIO名、及びそのドメインが暴露され、攻撃者がユーザーのアカウントに総当たり攻撃を仕掛ける可能性がある。

 あるリソースへ匿名アクセスが可能な場合でも、IISにユーザー認証を強制させることができる。IISに認証情報を提供することにより、ウェブサーバーはユーザー認証を試みる。認証に失敗した場合、サーバーは“401 Access Denied”メッセージを返すはずである。使用される認証メカニズムによって、色々なな情報にアクセスできる。

 Basic Authenticationが使われているかどうかを確認するには IISに対して以下のような認証ヘッダーを含んだ要求を発行する。

 GET / HTTP/1.1
 Host: iis-server
 Authorization: Basic cTFraTk6ZDA5a2xt

 サーバーが“401 Access Denied”メッセージで応答した場合は、Basic Authenticationが有効となっている。一方、“200 OK”のメッセージを返した場合は、Basic Authenticationをサポートしていない可能性が高い。

 NTLM Authenticationが使われているかどうかを確認するには、IISに対して以下のような認証ヘッダーを含んだ要求を発行する。

 GET / HTTP/1.1
 Host: iis-server
 Authorization: NegotiateTlRMTVNTUAABAAAAB4IAoAAAAAAAAAAAAAAAAAAAAAA=

 サーバーが“401 Access Denied”メッセージで応答した場合は、サーバーがNTLM Authenticationをサポートしている。一方、“200 OK”のメッセージを返した場合は、NTLM Authenticationをサポートしていない。

 上記いずれかの認証方法が利用されている場合、攻撃者はデフォルトの「管理者」アカウントを含む、全てのシステムアカウントに対し総当たり攻撃を実行することができる。

 Basic Authenticationがサポートされている場合、クライアントのHost HTTPヘッダーに入力される項目が、「Realm」(領域)として使われる。クライアントが認証情報を入力する必要がある場合は、Realm情報がクライアントに送信される。一方、Host HTTP ヘッダーのフィールドを空白にした場合は、サーバーのIPアドレスがRealmとして使用される。Network
AddressTranslation (NAT)を利用したファイアウォールによってIISに内部IPアドレスが割り当てられている場合は、この内部IPアドレスがクライアントに送信されてしまう。

 また、NTLM Authenticationがサポートされている場合、攻撃者はサーバーのNetBIOS名とそのドメインを知ることができる。クライアントが認証要求をした場合、この情報は Base64でエンコードされたテキストとして返される。

◆情報ソース:
・ NGSSoftware Insight Security Research
(Advisory # NISR04032002,
http://www.nextgenss.com/advisories/iisauth.txt),March 04, 2002

◆分析:
 (iDEFENSE 米国) 攻撃者は、総当たり攻撃によってアカウントの辞書攻撃を実行し、高度な権限を持つアカウントにアクセスする可能性がある。一方、情報漏洩バグの危険性はさほど高くないが、入手した情報を利用してファイアウォールで保護されている全ノードの内部アドレススキームを識別できるため、さらなる攻撃につながる可能性がある。

◆検知方法:
 Windows NT 4.0、2000、XPで作動するIIS 4、5および5.1 が影響を受ける。

◆暫定処置:
 アカウントのロックアウトポリシーを設定することによって、総当たり攻撃の被害を軽減することができる。まず、Passprop ユーティリティの利用を推奨する。通常、総当たり攻撃の実行中は、管理者アカウントをロックアウトすることはできない。しかし、Windows2000 Resource Kit に含まれるpassprop ユーティリティは、ネットワーク上の管理者アカウントへのログオンに対するロックアウトをサポートしている。
 “Securing IIS 5.0 Using Batch-Oriented CommandFiles”と題された記事によれば、マイクロソフト社はこのユーティリティについて次のように発表している。

 「以下のコマンドは、ハッカーが総当たり攻撃や辞書攻撃を試みた場合に、管理者アカウントをネットワークアクセスからロックアウトする。しかし、管理者は、次のアカウントを使ってサーバーにローカル環境でログオンすることができる。

 passprop /adminlockout /complex

 また、この設定により、複雑なパスワードが必要になる。複雑なパスワードとは、大文字・小文字それぞれ最低1文字と、数字または特殊文字を組み合わせたものである」

 尚、IPアドレスの暴露を防ぐには、以下の手順に従う。

1. コマンドプロンプトを開き、現在のディレクトリーをc:inetpubadminscripts、またはadminscriptsのある場所に変更する。
2. 以下のコマンドを実行する。
・ adsutil set w3svc/UseHostName True
・ net stop iisadmin /y
・ net start w3svc

 このコマンドにより、IISにIPアドレスでなく、コンピューターのホスト名を使用させることができる。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
 情報の内容は以下の時点におけるものです。
 【12:28 GMT、03、06、2002】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

    死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  2. どこかへ跳んでいけ、出来の悪いラビット(The Register)

    どこかへ跳んでいけ、出来の悪いラビット(The Register)

  3. 米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

    米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

  4. 捜査中だった米大統領選に使用されたサーバのデータが消失(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

  7. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  8. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  9. Mac OS X のシングルユーザモードの root アクセス(2)

  10. スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×