[port139ml:05269] Re: IIS Schannelのエラー

[Toyoki Yokouchi <yokochan@xxxxxxxxxxxxx>]

よこうち％現実逃避中％です。

"Hideaki Ihara" <hideaki@xxxxxxxxxxxxx> wrote:

> Port139 伊原です。
> 
> 手元の IIS 5.0 なのですが、イベントログ（システムログ）に下記メッセージが
> 出始めています。まだ 4件しか記録されてませんが。。。
> ＃MS04-011 の修正モジュールを適用してあるシステムです。
> 
> 『リモートクライアント アプリケーションからSSL接続要求を受信しましたが、
> クライアントでサポートされている暗号がサーバでサポートされていません。
> SSL接続要求は失敗しました。』
> 
> これって MS04-011 を狙った攻撃が失敗したケースなのか、本当に要求
> された暗号がサポートされてないのかどっちなんでしょ。
> 
> Hotfix 適用済みの環境に公開されているコードを試すとこんなの↑が記録
> されますでしょうか？＞誰となく

当方の再現環境は、Windows2000ServicePack4にMS04-011の修正モジュールを
適用しただけですが、公開されているコードによる攻撃で同様の現象が再現
されました。

Etherealでパケットを見てみましたが、攻撃を行う際にはSSLのClient Hello
のメッセージを送らずに、いきなりバイトコードを送っており、このときのみ
上記のログが生成されていますので、攻撃が失敗したケースではないかと
考えられます。

なお、普通にブラウザでアクセスすると、きちんとSSLの接続手順を踏んで
いますし、イベントログへ上記の内容が記録されることはありませんでした。

ではでは。