2015年4月15日に公開された Microsoft のセキュリティ更新プログラムリリース「2015年4月の Microsoft セキュリティ情報の概要」では、4件の脆弱性が深刻度「緊急」とされました。その「緊急」の 1つである「MS15-034「HTTP.sys の脆弱性により、リモートでコードが実行される (3042553)」の脆弱性(CVE-2015-1635)に対し、早くも Webサーバをオペレーティングシステム(OS)ごと強制終了させる攻撃が可能な実証コード(PoC : Proof of Concept)が公開されました。この実証コードは攻撃が非常に容易である危険性が高いものであるため、特に脆弱性に該当する Windows で Webサイトを運営、管理されている管理者の方は、速やかにアップデートを行うことを推奨します。
この MS15-034 の脆弱性は、Windows OS内で HTTPプロトコルの処理を行う「HTTP.sys」に存在するものです。攻撃のためには HTTPリクエストを送る必要があるため、HTTP.sys を使用する Webサーバが稼働していることが条件となります。Microsoft の情報によれば、攻撃者はこの脆弱性を利用することにより遠隔からシステムアカウントの権限で任意のコードを実行できる可能性があります。つまり、脆弱性が存在する Webサーバに不正プログラムを感染させたり、コンテンツを改ざんするためのバックドアを設置したりできる可能性があります。
今回公開されている実証コードは Webサーバを BSOD(Blue Screen of Death)状態で強制終了させるものです。また Microsoft の Webサーバである IIS(Internet Information Services)が稼働している場合にのみ攻撃可能なものであることが確認されています。
図1:MS15-034脆弱性を利用した攻撃により、WebサーバがBSODで強制終了した画面例
■被害に遭わないために
今回確認されている実証コードはほんの数十文字にわたる攻撃コードを送信するだけで攻撃が完了するものです。非常に容易に攻撃が実行可能であるため、この脆弱性を利用したサーバへの攻撃が多発する危険性は高いものと言えます。しかし、脆弱性を利用する攻撃は、修正されていない環境では大きな被害をもたらしますが、既に脆弱性が修正されている環境では何の影響も及ぼせません。該当する Windows OS上で Webサーバを運用している管理者の方は Microsoft社の情報に従い、速やかにアップデートを行うことを推奨します。
■トレンドマイクロのソリューション
トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」をご利用のお客様は、以下のフィルタを適用することにより、今回紹介した脆弱性を利用した攻撃から保護されます。
- 1006620 – Microsoft Windows HTTP.sys Remote Code Execution Vulnerability (CVE-2015-1635)
このフィルタを適用し、処理を「防御」に設定することで、この脆弱性に関連するネットワークトラフィックがブロックされ、脆弱性の利用を防ぐことが可能になります。