I. 記述
IIS 4.0と5.0のほとんどのバージョンでインストールされるISAPI拡張
モジュールの一つに遠隔から利用可能なバッファ・オーバフローが存在する
(このインターネット/インデックス・サービス・アプリケーション・
プログラミング・インタフェース拡張は具体的にはIDQ.DLLである)。
この脆弱性につけこむ侵入者はローカルシステムセキュリティ
コンテキストで(訳注:ローカルシステムに対して適用される
セキュリティレベルで、ということに近い)
任意のコードを
実行できてしまうことになる。これはまさしく、攻撃者には犠牲となるシステム
を完璧にコントロールできることになるということである。
この脆弱性はeEye Digital Securityが発見した。Microsoftはこの問題に
関して次のブリテンを公開した。
-
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
Windowsシリーズのうち影響を受けるバージョンには、(IIS 4.0と
インデックスサーバ2.0とをインストールした) Windows NT 4.0、
(IIS 5.0をインストールしたサーバエディション、プロフェッショナル
エディションの)Windows 2000、Windows 2000データセンターサーバの
OEMによる配布が挙げられる。ただし、これらの具体的な運用事例すべて
がデフォルトで脆弱であるわけではない。一方、Windows XPβ版はすべて
脆弱である。
この脆弱性を利用する際の唯一の前提条件は、IISサーバがインターネット
データアドミニストレーション(.ida)とインターネットデータクエリー(.idq)
の各ファイルにマップするスクリプトを動かしていること、である。
インデックスサービスが動いていることは必要条件ではない。Microsoftは
MS01-033において次のように書いている。
このバッファオーバーランは、何であれインデックス機能が要求される
前に起こるものである。この結果、idq.dllがインデックスサーバ、
インデックスサービスのコンポーネントであったとしても、攻撃者がこの
脆弱性を利用するのにこのサービス(訳注:インデックスサービス)が起動
されている必要はない。.idq, .idaを拡張子とするファイルに対して
マッピングを行なうスクリプトがある限り、そして、攻撃者がウェブ
セッションを確立できる限り、この脆弱性につけこむことができた。
この脆弱性にはCommon Vulnerabilities and Exposures (CVE)グループに
よってCAN-2001-0500という識別番号が付けられている。
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0500