インフラセキュリティの処方箋

第33回 2017年4月~Windows Vista EOLとIIS 6.0の脆弱性,そしてフィッシング手法のデモ

この記事を読むのに必要な時間:およそ 1.5 分

今月は,Windows VistaのEOLのお話と,3月末に公開されたIIS 6.0の脆弱性(0day)のお話をいたします。

Windows Vistaは2017年4月11日にEOLを迎えた&これから3年周期でEOLがやってくる

3年前の2014年4月8日は,Windows XPがEOLを迎えましたが,それから3年が経過した2017年4月11日は,Windows VistaがEOLを迎えた日です。

Windows Vistaは,それまでのWindowsと比較して非常に堅牢であった反面,堅牢過ぎて使いづらいという側面もあり,Windows XPユーザからは敬遠されたという印象があります(筆者は比較的長い間,Windows Vista Ultimateを使っていましたが,それでも重さに耐えきれずにWindows 7に移行した記憶があります)⁠

最後のWindows Vistaの修正プログラムが,4月11日に提供されましたが,EOLとなった現在は,新規に修正プログラムが提供されることはありません。新しいOSに移行することをお勧めします(というか移行してください)⁠

なお,Windows VistaがEOLになったことで,クライアント系OS上で動作するInternet Explorerは,Internet Explorer 11のみがサポート対象になりました。サーバ系OS上で動作するInternet Explorerは,Internet Explorer 11以外は,Windows Server 2008 Service Pack 2上のInternet Explorer 9,Windows Server 2012上で動作するInternet Explorer 10がサポート対象となります。

Windows XPのEOLから,あっという間の3年が経過してしまいましたが,次にEOLを迎えるのはWindows 7で,EOLの日は3年後の2020年1月14日です。サーバ系OSを見ると,Windows Server 2008 Service Pack 2と,Windows Server 2008 R2 Service Pack 1も2020年1月14日にEOLを迎えます。気がついたら2020年になっている,ということも十分ありえますので,とくに企業系のユーザの方々は,次のEOLのことを忘れず備えてください。

Microsoft ライフサイクル ポリシー
https://support.microsoft.com/ja-jp/lifecycle/selectindex
Internet Explorerのサポートポリシーが変わりました
https://www.microsoft.com/japan/msbc/Express/ie_support/

IIS 6.0の脆弱性が見つかる(当然ですが0dayです)

Microsoft IIS 6.0(IIS 6.0)は,Windows Server 2003に標準で搭載されているサーバソフトウェアですが,IIS 6.0のWebDAV機能にリモートコード実行が可能な脆弱性が発見されました。

Microsoft IIS 6.0のゼロデイ脆弱性,遠隔で任意のコード実行が可能に
http://blog.trendmicro.co.jp/archives/14663

細工されたIfヘッダを伴った,悪意あるPROPFINDリクエストを用いることで,この脆弱性を利用可能とされているため,WebDAV機能を無効にすればこの脆弱性の影響は受けません。しかし,すでにサポートされないOSの標準機能をいまだに使い続けることは,システムに手を入れないですむというコト以外にはデメリットしかないため,基本はシステム更改をおすすめしたいところです。

新手のフィッシング手法(デモ)~Phishing with Unicode Domains

punycodeを用いて記述される国際化ドメイン名(IDN)が,フィッシングに使われる危険性がある旨の報告がなされています。

Phishing with Unicode Domains
https://www.xudongz.com/blog/2017/idn-phishing/

デモサイトへのアクセスをしたときの様子を図1に示します。

図1 IDNフィッシングのデモサイトアクセス例

図1 IDNフィッシングのデモサイトアクセス例

SSL経由で接続され,証明書でもアドレスバーでも"apple.com"と表示されていますが,これら実は,キリル文字で「似たような形の文字」を並べている別ドメインだったりします。IDNで用いられるpunycodeが解釈され,"https://www.xn--80ak6aa92e.com/" と記述されているドメインを,ブラウザのIDN解釈機能で「それっぽく」見せています。

この手法,Chrome 58以降を用いるか,Firefoxの設定を変更する(具体的には,URL"about:config"へのアクセスを行い,IDN_show_punycodeの値をtrueに変更することで図2)⁠punycodeの解釈をしなくなるので,この攻撃を見破ることが可能になります図3)⁠

図2  Firefoxの設定変更の例

図2 Firefoxの設定変更の例

図3 設定変更後のアクセス例

図3 設定変更後のアクセス例

著者プロフィール

宮本久仁男(みやもとくにお)

某SIerに勤務する,どこにでもいる技術者。

OSやネットワーク技術に興味を持ち,その延長でセキュリティ技術にも興味を持って,いろんな調査や研究を手がけてます。

自分で思考を巡らしたり検証したり,というのももちろん好きで,あれこれやってます。もちろん他の人に迷惑はかけない範囲で……ですが。

博士(情報学),技術士(情報工学)。

URL:http://d.hatena.ne.jp/wakatono/

監訳書の1つ:実践Metasploit

コメント

コメントの記入