IISの自動防御ツール「SecureIIS Web」がNimdaの変種にも有効と判明

　IISの自動防御ツールである「SecureIIS Web」。この製品は今回発生したNimdaの変種「W32.Nimda.E＠mm」に対しても有効なのだろうか？同製品の総販売代理店である、住友金属システムソリューションズにコメントを頂いた。

──────────────

「W32.Nimda.E＠mm」は、オリジナルのNimdaである「W32.Nimda.A＠mm」の亜種です。

「W32.Nimda.E＠mm」では、各種ウィルス対策製品によるチェックを回避する為に使用するファイル名を変更するなどの修正がおこなわれております。

　ただし、IIS Webサーバに対するこのワームの感染方法は、オリジナルのNimdaと同一です。つまり、IIS WebサーバのUnicodeデコードの脆弱性を利用したディレクトリ・トラバーサル攻撃となっているのです。

　したがって、Nimdaに対応した修正モジュールを適用したIIS Webサーバであれば、「W32.Nimda.E＠mm」に対する新たな対策を講じる必要はありません（無論、修正モジュールを適用していない場合には感染する危険性があります）。

* 以下は、MicrosoftのNimdaに関する情報サイトです。*
http://www.microsoft.com/japan/technet/security/nimdaalrt.asp

「SecureIIS Web」では、以下の機能によってNimda（とその亜種）をブロックすることができます。

(1)ハイビットシェルコードに対する保護機能
(2)キーワードフィルタリング機能により、悪意あるキーワードを含むHTTPリクエストの拒否
(3)リモートから参照できるフォルダを制限することによるディレクトリ・トラバーサル攻撃からの保護

(1)について
「SecureIIS Web」では、標準の設定でハイビット・シェルコードからの保護機能が有効になっています。Nimdaとその亜種はIIS Webサーバを攻撃する際、Unicodeデコードの脆弱性を利用する為、ハイビット文字列を含む不正なGETリクエストをWebサーバーに送信します。
　この時、「SecureIIS Web」はGETリクエストの中のハイビット文字列を検知することができるため、Nimdaとその亜種による攻撃をその時点でブロックすることが可能となります。

(2)について
「SecureIIS Web」では、「system32」、「cmd.exe」というキーワードフィルタが標準で設定されています。
　Nimdaとその亜種による攻撃パターンには、こうした文字列が含まれています。したがって、標準のキーワード・フィルタの設定により、Nimdaとその亜種の攻撃をブロックすることができます。

(3)について
「SecureIIS Web」では、標準の設定でリモートから参照可能なディレクトリを適切なWebフォルダのみに制限します。
　Nimdaとその亜種による攻撃は、IIS WebサーバのUnicodeデコードの脆弱性を利用したディレクト・リトラバーサル攻撃であり、典型的にはWindowsのシステムフォルダに対するアクセスを行い、リモートから不正にコマンドを実行しようとするものです。
　しかし、「SecureIIS Web」が導入されている環境では、リモートから参照できるフォルダが、標準で適切なWeb仮想フォルダのみに制限されるため、Nimdaとその亜種によるリモートからのコマンド実行の試みは成功しません。

　上記のように「SecureIIS Web」は、IIS Webサーバに対して多重の防御を行います。
　また、「SecureIIS Web」はCHAMテクノロジを用いている為、ワーム等の特定の攻撃パターンに依存しない構造になっております。
　このため亜種のワームが登場しても、その攻撃からIIS Webサーバを保護することができます。

□関連情報

【SecureIIS Web（1）】〜IISへの攻撃を自動的にシャットアウト〜
（執筆：Port139　伊原秀明）(2001.10.4)
https://www.netsecurity.ne.jp/article/7/2964.html

（詳しくはScan Daily EXpressおよびScan 本誌をご覧下さい）
http://vagabond.co.jp/vv/m-sdex.htm
http://vagabond.co.jp/vv/m-sc.htm