CVE-2017-7269 - 脆弱性調査レポート

  • 本文プリント

Windows Server 2003 R2 のインターネット インフォメーション サービス(IIS)6.0におけるWebDAVサービスの脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-7269)に関する調査レポート

  • 2017年4月3日

概要

Windows Server 2003 R2のインターネット インフォメーション サービス(IIS)6.0に、リモートより任意のコードが実行可能な脆弱性(CVE-2017-7269)及び、その脆弱性を利用する攻撃コードが発見されました。
本脆弱性は、IIS6.0の拡張サービスである WebDAV(※) の「PROPFIND」リクエスト受信時の処理に起因するバッファオーバーフローの脆弱性で、この脆弱性を利用した攻撃が成立した場合、リモートからIISの実行権限で任意のコードを実行される危険性があります。

本レポート作成(2017年4月3日)時点において、本脆弱性の影響を受ける可能性があるIISを含むWindows Sever 2003 R2は、開発元のサポートがすでに終了 (2015年7月14日終了)しているため、本脆弱性を修正するプログラムがリリースされない可能性が高いこと、また攻撃を成立させるためのコードが容易に入手可能であり、かつ脆弱性に対する攻撃が容易であること、加えて攻撃を受けた際にシステムへの影響が大きいことから、今回、この脆弱性(CVE-2017-7269)の再現性について検証を行いました。

※HTTPを拡張し、WebクライアントからWebサーバーのフォルダやファイルの管理を行えるようにするプロトコル

影響を受ける可能性があるシステム

  • Windows Server 2003 R2でIIS6.0が動作しており、かつWebDAVサービスを有効にしているシステム

対策案

本脆弱性の影響を受ける可能性があるIISを含むWindows Sever 2003 R2は、開発元のサポートがすでに終了しているため、本脆弱性を修正するプログラムはリリースされない可能性が高いと判断できます。可能な限り迅速に現在サポート中のOSへとアップデートしてください。それまでの暫定回避策としては、WebDAVサービスを無効化、代替サービスへと変更することを推奨いたします。

WebDAVサービスを無効化する手順は以下の通りです。

  1. 管理ツールより「インターネット インフォメーション サービス(IIS)マネージャ」を起動します。
  2. 左ペインのツリーを展開し、「Webサービス拡張」を選択後、右ペインにて「WebDAV」を選択し、
    「禁止」ボタンを押下します。
  3. 「禁止」ボタンを押下

  4. 下記のポップアップが表示されるので、「はい」ボタンを押下します。
  5. 「はい」ボタンを押下

  6. 右ペインの「WebDAV」の状態が「禁止」になっていることを確認します。
  7. 「禁止」になっていることを確認


参考サイト

検証概要

攻撃者は、ターゲットシステムで動作するIISへ細工したリクエストを送信することにより、ターゲットシステムの脆弱性を利用して任意のコードを実行させます。
今回の検証に用いたコードは、ターゲットシステム上から特定のサーバー、ポートへコネクションを確立させるよう誘導し、システム制御を奪取するものです。これにより、リモートからIISの実行権限でターゲットシステムが操作可能となります。

※ 誘導先のシステムはLinuxです。

検証ターゲットシステム

Windows Server 2003 R2 +IIS6.0

検証イメージ

検証イメージ

検証結果

下図は、誘導先のコンピュータ(Linux)の画面です。黄線で囲まれた部分は、誘導先のホストの情報です。 一方で、赤線で囲まれている部分は、ターゲットシステム(Windows Server 2003 R2)において、ユーザーの情報、IPアドレスの情報を表示するコマンドを実行した結果が表示されています。
これにより、ターゲットシステムで任意のコマンドを実行することに成功したと判断できます。

検証結果


更新履歴

2017年4月3日 : 初版公開

  • PDF版はこちら
  • セキュティソリューション一覧

    脆弱性調査レポートのメール配信を開始しました!

    ご好評いただいている「脆弱性調査レポート」ですが、コンテンツの都合上、レポートの発行は不定期です。そこで、新しい脆弱性調査レポートを発行するたびに最新情報をメールでお届けする「脆弱性調査レポート メール」の配信を開始しました。ぜひご登録ください。

    本件に関するお問い合わせ先

    『報道関係者様からのお問い合わせ』
    ソフトバンク・テクノロジー株式会社
    管理本部 経営企画部 齊藤、安部、菅
    TEL:03-6892-3063
    メールアドレス:sbt-pr@tech.softbank.co.jp
    『お客様からのお問い合わせ』
    下記問い合わせフォームよりお問い合わせください。

    お問い合わせ・資料請求

    課題や悩みをお持ちのお客様は、
    まずお気軽にご相談ください。

    総合お問い合わせはこちら

    目的別・サービス別のご相談は「お問い合わせ・資料請求先一覧」からお問い合わせください。

    お問い合わせ・資料請求

    課題や悩みをお持ちのお客様は、まずお気軽にご相談ください。

    総合お問い合わせはこちら
    • SBT Talents
    • プライバシーマーク制度

    • ISMS認証登録範囲:
      本社、汐留、大阪、
      名古屋、福岡

    ページトップへ