サポート切れの「IIS 6」、リモートから任意コード実行の脆弱性
2017年4月5日 21:23
すでにサポートが終了しているWindows XPおよびWindows Server 2003に搭載されているIIS 6.0に、新たな脆弱性が発見された。IIS 6.0のサポートも両OSとともに終了しているが、未だにこれらを利用しているサイトがあり、それを狙った攻撃も行われているという(ZDNet Japan、実証コード、TREND MICROの脆弱性情報、CVE-2017-7269)。
今回発覚した問題は、IIS 6.0のWebDAV関連機能にバッファオーバーフローを引き起こす脆弱性があるというもの。攻撃者は「If: http://」という文字列で始まる長いヘッダとともにPROPFINDリクエストを送信することで、任意のコードを実行できるという。この脆弱性を狙った攻撃は2016年7月~8月ごろから存在していたとされている。すでにIIS 6.0のサポートは終了しているため、この脆弱性が修正される見込みはない。もっとも有効な対策はサポートの切れたOSやIIS 6.0の使用を止めることだろう。