[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:05232] IIS への SSL な攻撃を検知するには?
- To: port139ml@xxxxxxxxxxxxx
- Subject: [port139ml:05232] IIS への SSL な攻撃を検知するには?
- From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
- Date: Sun, 18 Apr 2004 08:07:11 +0900
Port139 伊原です。
妄想用?に丁度良い脆弱性なので(ぉぃ
「WindowsのSSLサーバーが狙われる,管理者はすぐに対策を」――英Netcraft
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040416/143153/
Microsoft SSL ライブラリにおけるリモート セキュリティ侵害の脆弱点
http://www.isskk.co.jp/support/techinfo/general/MS_SSL_168.html
マイクロソフト セキュリティ情報 (MS04-011) : よく寄せられる質問
http://www.microsoft.com/japan/technet/security/bulletin/fq04-011.asp
手元ではまだ観測できてない、というか SSL 有効な Honeypot ないので
アレですが、IIS で SSL を有効にしている場合、MS04-011 に記述されて
いるサービス拒否(DoS)だけでなく、任意のコマンド実行も可能というこ
とで、IIS を運用している管理者は迅速に Hotfix を適用する必要がある
ようですね。
思ったのですが、この脆弱性による攻撃は“電源切ると証拠が消える”
ケースに該当しそうですね。
サービス拒否(DoS)攻撃についてはイベントログに症状が出るようですが、
バッファオーバーフローでもメッセージが記録されるか私は知りません。
攻撃が成功した場合は、恐らくメモリ上に悪意あるプロセスが存在する
状況になり、HDD 上には手がかり(証拠となる)情報は記録されないの
かもしれません。
攻撃そのものが SSL を狙うということで、攻撃パケットも SSL 経由に
なり NIDS は検知できないかもしれません。
#恐らく、攻撃成功後に発生するであろう他のパケットにより検知でき
#る可能性がありますが。
この状態で、侵害の発生を検知するにはどうすりゃいいんですかね?
メモリ上に存在する“悪意あるプロセス”を保全するにはメモリ内容を
ダンプすれば可能ですが、そもそも“悪意あるプロセス”がメモリ上に
存在することを特定する、すなわち“すでに侵害されている”ことをど
のように確認するか・・・
不正アクセス者(またはワームとか)が、別の動作(プロセスの実行や
感染活動など、ログや NIDS などに記録が残りそうな行動)を行えば、
そちらの情報から推測・判断することができるかもしれませんが、ちと
ご意見募集(笑)
--
『強いWindowsの基本』 やっとでました(^^;;
http://www.seshop.com/detail.asp?pid=4449
Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
Microsoft MVP (Security)
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/