IIS認証メカニズムにおける、総当たり攻撃・情報漏洩の危険性 | ScanNetSecurity
2024.05.04(土)

IIS認証メカニズムにおける、総当たり攻撃・情報漏洩の危険性

◆概要:
 マイクロソフト社のInternet InformationServices (IIS)ウェブサーバーで報告されているバグが原因で、サーバーの内部IPアドレス、NetBIO名、及びそのドメインが暴露され、攻撃者がユーザーのアカウントに総当たり攻撃を仕掛ける可能性がある。

国際 海外情報
facebookLINE
◆概要:
 マイクロソフト社のInternet InformationServices (IIS)ウェブサーバーで報告されているバグが原因で、サーバーの内部IPアドレス、NetBIO名、及びそのドメインが暴露され、攻撃者がユーザーのアカウントに総当たり攻撃を仕掛ける可能性がある。

 あるリソースへ匿名アクセスが可能な場合でも、IISにユーザー認証を強制させることができる。IISに認証情報を提供することにより、ウェブサーバーはユーザー認証を試みる。認証に失敗した場合、サーバーは“401 Access Denied”メッセージを返すはずである。使用される認証メカニズムによって、色々なな情報にアクセスできる。

 Basic Authenticationが使われているかどうかを確認するには IISに対して以下のような認証ヘッダーを含んだ要求を発行する。

 GET / HTTP/1.1
 Host: iis-server
 Authorization: Basic cTFraTk6ZDA5a2xt

 サーバーが“401 Access Denied”メッセージで応答した場合は、Basic Authenticationが有効となっている。一方、“200 OK”のメッセージを返した場合は、Basic Authenticationをサポートしていない可能性が高い。

 NTLM Authenticationが使われているかどうかを確認するには、IISに対して以下のような認証ヘッダーを含んだ要求を発行する。

 GET / HTTP/1.1
 Host: iis-server
 Authorization: NegotiateTlRMTVNTUAABAAAAB4IAoAAAAAAAAAAAAAAAAAAAAAA=

 サーバーが“401 Access Denied”メッセージで応答した場合は、サーバーがNTLM Authenticationをサポートしている。一方、“200 OK”のメッセージを返した場合は、NTLM Authenticationをサポートしていない。

 上記いずれかの認証方法が利用されている場合、攻撃者はデフォルトの「管理者」アカウントを含む、全てのシステムアカウントに対し総当たり攻撃を実行することができる。

 Basic Authenticationがサポートされている場合、クライアントのHost HTTPヘッダーに入力される項目が、「Realm」(領域)として使われる。クライアントが認証情報を入力する必要がある場合は、Realm情報がクライアントに送信される。一方、Host HTTP ヘッダーのフィールドを空白にした場合は、サーバーのIPアドレスがRealmとして使用される。Network
AddressTranslation (NAT)を利用したファイアウォールによってIISに内部IPアドレスが割り当てられている場合は、この内部IPアドレスがクライアントに送信されてしまう。

 また、NTLM Authenticationがサポートされている場合、攻撃者はサーバーのNetBIOS名とそのドメインを知ることができる。クライアントが認証要求をした場合、この情報は Base64でエンコードされたテキストとして返される。

◆情報ソース:
・ NGSSoftware Insight Security Research
(Advisory # NISR04032002,
http://www.nextgenss.com/advisories/iisauth.txt),March 04, 2002

◆分析:
 (iDEFENSE 米国) 攻撃者は、総当たり攻撃によってアカウントの辞書攻撃を実行し、高度な権限を持つアカウントにアクセスする可能性がある。一方、情報漏洩バグの危険性はさほど高くないが、入手した情報を利用してファイアウォールで保護されている全ノードの内部アドレススキームを識別できるため、さらなる攻撃につながる可能性がある。

◆検知方法:
 Windows NT 4.0、2000、XPで作動するIIS 4、5および5.1 が影響を受ける。

◆暫定処置:
 アカウントのロックアウトポリシーを設定することによって、総当たり攻撃の被害を軽減することができる。まず、Passprop ユーティリティの利用を推奨する。通常、総当たり攻撃の実行中は、管理者アカウントをロックアウトすることはできない。しかし、Windows2000 Resource Kit に含まれるpassprop ユーティリティは、ネットワーク上の管理者アカウントへのログオンに対するロックアウトをサポートしている。
 “Securing IIS 5.0 Using Batch-Oriented CommandFiles”と題された記事によれば、マイクロソフト社はこのユーティリティについて次のように発表している。

 「以下のコマンドは、ハッカーが総当たり攻撃や辞書攻撃を試みた場合に、管理者アカウントをネットワークアクセスからロックアウトする。しかし、管理者は、次のアカウントを使ってサーバーにローカル環境でログオンすることができる。

 passprop /adminlockout /complex

 また、この設定により、複雑なパスワードが必要になる。複雑なパスワードとは、大文字・小文字それぞれ最低1文字と、数字または特殊文字を組み合わせたものである」

 尚、IPアドレスの暴露を防ぐには、以下の手順に従う。

1. コマンドプロンプトを開き、現在のディレクトリーをc:inetpubadminscripts、またはadminscriptsのある場所に変更する。
2. 以下のコマンドを実行する。
・ adsutil set w3svc/UseHostName True
・ net stop iisadmin /y
・ net start w3svc

 このコマンドにより、IISにIPアドレスでなく、コンピューターのホスト名を使用させることができる。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
 情報の内容は以下の時点におけるものです。
 【12:28 GMT、03、06、2002】

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  4. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  5. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  6. 「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

    「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

  7. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  8. SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

    SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

  9. 2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

    2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

  10. サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

    サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

ランキングをもっと見る
ホーム 国際 海外情報 記事
TOP