• [アーティクル]

セキュリティ情報

Microsoft セキュリティ情報 MS01-033 - 重大

Index Server ISAPI 拡張機能のチェックされていないバッファーによって Web サーバーの侵害が有効になる可能性がある

公開日: 2001 年 6 月 18 日 |更新日: 2003 年 11 月 4 日

バージョン: 1.6

投稿日: 2001 年 6 月 18 日
更新日: 2003 年 11 月 4 日

まとめ

このセキュリティ情報を読む必要があるユーザー:
Microsoft® Windows NT® 4.0 または Windows® 2000 を使用する Web サーバーのシステム管理者。

脆弱性の影響:
攻撃者が選択したコードを実行します。

推奨事項:
Microsoft では、すべての Web サーバー管理者にパッチを直ちに適用することを強くお勧めします。

影響を受けるソフトウェア:

  • Microsoft Index Server 2.0

  • Windows 2000 の Indexing Service

    注: リリース候補 1 より前のバージョンの Windows XP の Indexing Service も、この脆弱性の影響を受けます。 FAQ で説明したように、Microsoft は、運用環境で RC1 より前のベータ 版を使用して修復を提供している少数のお客様と直接協力しています。

一般情報

技術詳細

技術的な説明:

IIS では、インストール プロセスの一環として、拡張機能を提供するいくつかの ISAPI 拡張機能-- .dll をインストールします。 これらの中には、Index Server (Windows 2000 では Indexing Service と呼ばれます) のコンポーネントであり、管理スクリプト (.ida ファイル) とインターネット データ クエリ (.idq ファイル) のサポートを提供する idq.dll があります。

idq.dllには、入力 URL を処理するコードのセクションにチェックされていないバッファーが含まれているため、セキュリティの脆弱性が発生します。 idq.dllがインストールされているサーバーとの Web セッションを確立する可能性がある攻撃者は、バッファー オーバーラン攻撃を実行し、Web サーバー上でコードを実行する可能性があります。 Idq.dllはシステム コンテキストで実行されるため、この脆弱性を悪用すると、攻撃者はサーバーを完全に制御し、そのサーバーに対して必要なアクションを実行できるようになります。

バッファー オーバーランは、インデックス作成機能が要求される前に発生します。 その結果、idq.dllが Index Server/Indexing Service のコンポーネントであっても、攻撃者がこの脆弱性を悪用するためにサービスを実行する必要はありません。 .idq または .ida ファイルのスクリプト マッピングが存在し、攻撃者が Web セッションを確立できる限り、この脆弱性が悪用される可能性があります。

明らかに、これは重大な脆弱性であり、Microsoft はすべてのお客様に直ちにアクションを実行するよう促します。 この修正プログラムをインストールできないお客様は、IIS の Internet Services Manager を介して .idq ファイルと .ida ファイルのスクリプト マッピングを削除することで、システムを保護できます。 ただし、FAQ で詳しく説明したように、追加のシステム コンポーネントが追加または削除されると、これらのマッピングが自動的に復帰する可能性があります。 このため、スクリプト マッピングが削除された場合でも、IIS を使用しているすべてのお客様にパッチをインストールすることをお勧めします。

軽減要因:

  • この脆弱性は、影響を受けるサーバーで Web セッションを確立できる場合にのみ悪用されます。 Index Server または Index Services をインストールしたが、IIS をインストールしていないお客様は危険にさらされません。 これは、Windows 2000 Professional の既定のケースです。
  • インターネット データ 管理istration (.ida) ファイルとインターネット データ クエリ (.idq) ファイルのスクリプト マッピングが存在しない場合、この脆弱性を悪用することはできません。 マッピングを削除する手順については、IIS 4.0IIS 5.0 Security チェックリストで説明されており、Windows 2000 インターネット サーバー セキュリティ ツールを使用して自動的に削除できます。 ただし、お客様は、FAQ で説明されているように、後でシステム コンポーネントを追加または削除するとマッピングが再開される可能性があることに注意する必要があります。
  • 攻撃者が侵害された Web サーバーから他のマシンに制御を拡張する能力は、ネットワークの特定の構成に大きく依存します。 ベスト プラクティスでは、インターネットなどの制御されていない環境内のマシンが、DMZ などの対策を使用して全体的な露出を最小限に抑え、最小限のサービスで動作し、内部ネットワークとの接触を分離することで直面する固有の高リスクをネットワーク アーキテクチャで考慮することをお勧めします。 このような手順では、全体的な露出を制限し、攻撃者が侵害の可能性の範囲を広げる能力を妨げる可能性があります。

脆弱性識別子:CAN-2001-0500

テスト済みバージョン:

Microsoft は、Windows 2000 および Windows XP で Index Server 2.0 と Index Service をテストし、これらの脆弱性の影響を受けるかどうかを評価しました。 以前のバージョンはサポートされなくなり、これらの脆弱性の影響を受ける場合と影響されない場合があります。

よく寄せられる質問

この脆弱性の範囲は何ですか?
これはバッファー オーバーラン脆弱性です。 攻撃者がこの脆弱性を悪用した場合、影響を受ける Web サーバーを完全に制御できる可能性があります。 これにより、攻撃者は、Web ページの変更、ハード ドライブの再フォーマット、ローカル管理者グループへの新しいユーザーの追加など、サーバーで必要なアクションを実行できるようになります。 この脆弱性は、特定のシステム コンポーネントがシステム上に存在する場合にのみ悪用される可能性があります。セキュリティ チェックリストとツールを削除することをお勧めします。 ただし、これは重大な脆弱性であり、Web サーバー管理者は直ちに対処することをお勧めします。

この脆弱性の原因は何ですか?
この脆弱性は、Windows NT 4.0 の Index Server と Windows 2000 の Indexing Service に関連付けられた ISAPI 拡張機能でチェックされていないバッファーが発生した結果です。 特別に構築された要求を ISAPI 拡張機能に送信すると、攻撃者はローカル システム コンテキストで Web サーバー上でコードを実行する可能性があります。

Index Server と Indexing Service とは
Index Server 2.0 と Indexing Service はそれぞれ、Windows NT 4.0 および Windows 2000 で使用するためのフルテキスト検索エンジンおよびインデックス作成エンジンです。 Web サイトまたはサーバー上のデータを検索する機能を提供します。 これにより、Web ブラウザーを使用するユーザーは、キーワード (keyword)、語句、またはプロパティを入力してドキュメントを検索できます。 Index Server 2.0 は Windows NT 4.0 の一部として出荷されませんが、Windows NT 4.0 オプション パックの一部として利用できます。 Indexing Service は Windows 2000 のネイティブ サービスであり、プラットフォームの一部として提供されます

ISAPI 拡張機能とは
ISAPI (Internet Services アプリケーション プログラミング インターフェイス) は、開発者が IIS サーバーによって提供される機能を拡張できるようにするテクノロジです。 ISAPI 拡張機能はダイナミック リンク ライブラリ (.dll) であり、ISAPI を使用して、IIS によってネイティブに提供される Web 関数の上とそれ以外の一連の Web 関数を提供します。 ISAPI 拡張機能が公開する関数のいずれかをユーザーが使用する必要がある場合は、サーバーに要求を送信します。 ISAPI 拡張機能を直接呼び出す場合もありますが、ユーザーが処理するコマンドを含むサーバー上のファイルを要求する方が一般的です。 ユーザーがこのようなファイルを要求すると、IIS は、サーバー上の各 ISAPI 拡張子に関連付けられているファイル拡張子を一覧表示するスクリプト マッピングのテーブルを調べて、ファイルの解析に使用する必要がある ISAPI 拡張子を決定します。

この脆弱性に関連付けられている ISAPI 拡張機能はどれですか?
この脆弱性を含む ISAPI 拡張機能はidq.dllであり、次の 2 種類の関数が提供されます。

  • インターネット データ 管理istration (.ida) ファイルのサポートを提供します。これは、インデックス作成サービスの管理に使用できるスクリプトです。 この機能は、Microsoft 管理コンソールにより優れた管理インターフェイスが提供されるため、ほとんど使用されません。
  • カスタム検索を実装するために使用されるインターネット データ クエリ (.idq) ファイルを処理します。

idq.dllの問題
受信要求を処理するコードの一部にチェックされていないバッファーがあります。 特別に形式が正しくない要求が送信された場合、バッファー オーバーランが発生し、次の 2 つの結果のいずれかが返されます。

  • 要求にランダム なデータが含まれている場合、サーバー上の Web サービスが失敗します。 IIS 4.0 がサーバーで使用されていた場合、管理者はサービスを再起動することで通常の操作を再開できます。IIS 5.0 が使用されていた場合、Web サービスは自動的に再起動します。
  • 要求に特別に選択されたデータが含まれている場合は、攻撃者が選択したコードをサーバー上で実行するために使用される可能性があります。

攻撃者がこの脆弱性を悪用してサーバー上でコードを実行した場合、どのようなセキュリティ コンテキストで実行されますか?
ローカル システム特権で実行されます。 この脆弱性を悪用する効果は、実際には実行中にidq.dllを変更することです。idq.dllはオペレーティング システムの一部として実行されるため、攻撃者のコードも同様です。

これにより、攻撃者は何を行うことができますか?
この脆弱性を悪用した攻撃者は、Web サーバーを完全に制御します。 これにより、次のような目的のアクションを実行できるようになります。

  • Web コンテンツの変更
  • オペレーティング システム コマンドの実行
  • サーバーの再構成
  • サーバーに追加のソフトウェアを読み込んで実行する。

この脆弱性を悪用すると、攻撃者はネットワーク全体を完全に制御できるようになりますか?
ベスト プラクティスは、侵害の範囲を制限するのに役立ちます。 Web サーバー (特にパブリックサーバー) は、公開されている位置が公開されているため、常に攻撃の特別なターゲットであり、ネットワーク設計はこの事実を反映する必要があります。 実際、ネットワーク アーキテクトの主な目的の 1 つは、ネットワーク設計によって、侵害された Web サーバーを使用して実行できる処理が制限されるようにすることです。 具体的には、次の 2 つのプラクティスに従う必要があります。

  • Web サーバーは DMZ 内で分離する必要があります。 これにより、サーバーがインターネットから分離されるだけでなく、ネットワークの残りの部分からもサーバーが分離されます。
  • 可能であれば、Web サーバーをスタンドアロン コンピューターとして構成する必要があります。 doメインの一部にすることが絶対に必要な場合、doメインは DMZ 上に存在するマシンのみを包含する必要があります。 Web サーバーを大規模なネットワークのメンバーにしないでくださいメイン。

ただし、これらの予防措置に従ったとしても、この脆弱性によって発生する可能性のある損害を過小評価しないことが重要です。 ネットワーク設計によって攻撃者が通常のシステム操作を使用して制御を拡張する簡単な手段を拒否した場合でも、侵害されたサーバーを開始点として使用し、他の既知の脆弱性を介して追加のマシンを攻撃しようとする可能性があります。

誰がこの脆弱性を悪用する可能性がありますか?
この脆弱性を悪用するには、攻撃者が要求をidq.dllに課す機能のみが必要です。 .idq ファイルと .ida ファイルをidq.dllに関連付けるスクリプト マッピングが存在し、攻撃者がサーバーとの Web セッションを確立できる限り、この脆弱性が悪用される可能性があります。

この脆弱性が悪用されるためには、Index Server または Indexing Service を実行する必要がありますか?
いいえ。 idq.dllによって提供される機能は Index Server と Indexing Service をサポートしていますが、.dllは IIS がインストールされるたびにインストールされ、IIS が実行されるたびに公開されます。 したがって、サーバーでインデックス作成が利用できなかった場合でも、IIS がコンピューター上で実行されている限り、この脆弱性は引き続き存在します。

IIS がコンピューター上で実行されていない場合、この脆弱性の影響を受けませんか?
正解です。 Index Server または Indexing Service をインストールした場合でも、この脆弱性は IIS が実行されている場合にのみ悪用される可能性があります。

私は.idaファイルが管理スクリプトだと思った。 攻撃者が .ida ファイルの要求を課す管理者である必要はありませんか?
Idq.dllは、.ida ファイルを要求するユーザーの資格情報をチェックしてから、その中のコマンドを処理します。 ただし、バッファー オーバーランは、このチェックを行う前に発生します。 その結果、すべてのユーザーが .ida ファイルを要求し、この脆弱性を悪用する可能性があります。 そうでない場合でも、通常、.idq ファイルは任意のユーザーが要求できます。

IIS セキュリティ チェックリストに従い、.ida ファイルと .idq ファイルのスクリプト マッピングを無効にしました。 脆弱かどうかの判断
.ida ファイルと .idq ファイルのスクリプト マッピングが存在しない場合、この脆弱性を悪用することはできません。 IIS 4.0IIS 5.0 のセキュリティ チェックリストには、これを行うための手順が記載されています。 さらに、 Windows 2000 インターネット サーバー セキュリティ ツール は、マッピングの保持を明示的に要求しない限り、削除します。 ただし、マッピングが再開される可能性があることに注意することが重要です。 具体的には、コントロール パネルの [プログラムの追加と削除] アプレットを使用して Windows コンポーネントが追加または削除されると、Windows は .idq マッピングと .ida マッピングの両方を復元するシステム再構成を実行します。 その結果、マッピングを削除したお客様でも、パッチをセーフガードとして適用することをお勧めします。

Windows NT 4.0 を実行しています。 脆弱かどうかの判断
Windows NT 4.0 の既定のインストールは 脆弱ではありません 。 IIS 4.0 は Windows NT 4.0 の一部としてインストールされません。Windows NT 4.0 オプション パックを使用してインストールする必要があります。 ただし、IIS 4.0 をインストールしている場合は、IIS 4.0 のインストール プロセスの一部としてIdq.dllがインストールされるため、脆弱です。

Windows 2000 Server を実行しています。 脆弱かどうかの判断
Windows 2000 Server の既定のインストールは脆弱です 。 IIS 5.0 は Windows 2000 サーバー製品の一部として既定でインストールされ、Idq.dllは IIS 5.0 インストール プロセスの一部としてインストールされます。

Windows 2000 Professional を実行している場合、脆弱ですか?
Windows 2000 Professional の既定のインストールは 脆弱ではありません 。 Windows 2000 Server とは異なり、IIS 5.0 は Windows 2000 Professional の一部としてインストールされません。 ただし、IIS 5.0 をインストールした場合は、IIS 5.0 のインストール プロセスの一部としてIdq.dllがインストールされるため、脆弱です。

パッチは何をしますか?
この修正プログラムは、ISAPI 拡張機能で適切な入力チェックを作成することで、この脆弱性を排除します。

私はWindows XPが脆弱であると聞きましたが、パッチはありません。 これは本当ですか?
リリース候補 1 より前のバージョンの Windows XP は、この脆弱性の影響を受けています。 すべてのベータ製品と同様に、評価目的でのみ使用し、運用サーバーにインストールしないでください。 この脆弱性は Windows XP リリース候補 1 では排除されており、製品の最終リリース バージョンを含む以降のバージョンには存在しません。 影響を受けるバージョンの Windows XP ベータ版を使用して、Microsoft と密接に連携して限定的な運用展開を行っているお客様はごく少数です。 Microsoft はこれらのお客様に直接連絡を取り、脆弱性を排除する更新されたビルドを提供しました。

パッチの可用性

このパッチのダウンロード場所

このパッチに関する追加情報

インストール プラットフォーム:

  • Windows NT 4.0 パッチは、Windows NT 4.0 Service Pack 6a にインストールできます。
  • Windows NT Server 4.0 ターミナル サーバー エディションセキュリティ ロールアップ パッケージは、Windows NT 4.0 ターミナル サービス エディション Service Pack 6 にインストールできます。
  • Windows 2000 パッチは、Windows 2000 Gold、Windows 2000 Service Pack 1 、または Service Pack 2 にインストールできます。

今後のサービス パックに含める:

この問題の修正プログラムは、Windows 2000 Service Pack 3 に含まれます。

置き換えられたパッチ:

  • Windows NT Sever 4.0、ターミナル サーバー エディションのセキュリティ ロールアップ パッケージは、次のセキュリティ情報に記載されている修正プログラムよりも優先されます。
    • Microsoft セキュリティ情報 MS99-041
    • Microsoft セキュリティ情報 MS99-046
    • Microsoft セキュリティ情報 MS99-056
    • Microsoft セキュリティ情報 MS99-060
    • Microsoft セキュリティ情報 MS00-005
    • Microsoft セキュリティ情報 MS00-006
    • Microsoft セキュリティ情報 MS00-007
    • Microsoft セキュリティ情報 MS00-021
    • Microsoft セキュリティ情報 MS00-027
    • Microsoft セキュリティ情報 MS00-029
    • Microsoft セキュリティ情報 MS00-040
    • Microsoft セキュリティ情報 MS00-047
    • Microsoft セキュリティ情報 MS00-052
    • Microsoft セキュリティ情報 MS00-083
    • Microsoft セキュリティ情報 MS00-087
    • Microsoft セキュリティ情報 MS00-091
    • Microsoft セキュリティ情報 MS00-094
    • Microsoft セキュリティ情報 MS00-100
    • Microsoft セキュリティ情報 MS01-003
    • Microsoft セキュリティ情報 MS01-008
    • Microsoft セキュリティ情報 MS01-009
    • Microsoft セキュリティ情報 MS01-017
    • Microsoft セキュリティ情報 MS01-040
    • Microsoft セキュリティ情報 MS01-041
    • Microsoft セキュリティ情報 MS01-052
    • Microsoft セキュリティ情報 MS02-001
    • Microsoft セキュリティ情報 MS02-018

修正プログラムのインストールの確認:

Windows NT 4.0:

  • コンピューターに修正プログラムがインストールされていることを確認するには、コンピューターに次のレジストリ キーが作成されていることを確認します。
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q300972。

  • 個々のファイルを確認するには、サポート技術情報の記事Q300972のファイル マニフェストを参照してください。

Windows NT 4.0 ターミナル サーバー エディション:

  • Windows NT Server 4.0、ターミナル サーバー エディションのセキュリティ ロールアップ パッケージがコンピューターにインストールされていることを確認するには、コンピューターに次のレジストリ キーが作成されていることを確認します。
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q317636。

Windows 2000:

  • コンピューターに修正プログラムがインストールされていることを確認するには、コンピューターに次のレジストリ キーが作成されていることを確認します。
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\更新\Windows 2000\SP3\Q300972。

  • 個々のファイルを確認するには、次のレジストリ キーで提供される日付/時刻とバージョン情報を使用します。
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\更新\Windows 2000\SP3\Q300972\Filelist

注意事項:

.ida および .idq スクリプト マッピングを削除すると、この脆弱性から保護できますが、FAQ で説明されているように、これらのマッピングがシステムによって復元される可能性があります。 これらのマッピングを削除したお客様は、保護策としてパッチを適用することをお勧めします。

ローカライズ:

このパッチのローカライズされたバージョンは、「パッチの可用性」というタイトルのセクションに記載されているダウンロード場所から入手できます。

その他のセキュリティ パッチの取得:

その他のセキュリティの問題に対する修正プログラムは、次の場所から入手できます。

  • セキュリティ パッチは Microsoft ダウンロード センターから入手でき、"security_patch" のキーワード (keyword)検索を行うことで最も簡単に見つけることができます。
  • コンシューマー プラットフォームのパッチは、WindowsUpdate Web サイトから入手できます。

その他の情報:

受信確認

Microsoft は、この問題を報告し、お客様を保護するために Microsoft と協力してくださった eEye Digital Security (https://www.eeye.com) に感謝します。

サポート:

  • マイクロソフト サポート技術情報の記事Q300972この問題について説明しており、このセキュリティ情報のリリースから約 24 時間後に利用可能になります。 サポート技術情報の記事は、Microsoft Online サポート Web サイトにあります
  • テクニカル サポートは、Microsoft 製品サポート サービスから入手できます。 セキュリティ パッチに関連付けられているサポート呼び出しに対する料金はかかりません。

セキュリティ リソース:Microsoft TechNet セキュリティ Web サイトは、Microsoft 製品のセキュリティに関する追加情報を提供します。

免責事項:

Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン:

  • V1.0 (2001 年 6 月 18 日): セキュリティ情報が作成されました。
  • V1.1 (2001 年 6 月 18 日): MS00-006 および MS01-025 がこのセキュリティ情報に記載されているパッチに置き換えないことを示すように修正された置き換えられたパッチの一覧。
  • V1.2 (2001 年 8 月 6 日): Windows XP の特定のベータ情報を更新しました。
  • V1.3 (2001 年 8 月 20 日): パッチの可用性セクションが更新され、ここで提供されているパッチが MS01-044 で提供されているパッチに置き換えられたことを示します。
  • V1.4 (2001 年 8 月 21 日): Gold を含むすべての Windows 2000 バージョンにインストールできるパッチのバージョンと、一致するように更新されたインストール プラットフォーム セクションをリリースしました。
  • V1.5 (2002 年 5 月 6 日): Windows NT 4.0 Server、ターミナル サーバー エディションのセキュリティ ロールアップ パッケージの可用性に関する情報が更新されました。
  • V1.6 (2003 年 11 月 4 日): 追加情報の Windows Update へのリンクを更新しました。

ビルド日: 2014-04-18T13:49:36Z-07:00