Return-Path: owner-bugtraq-jp@SECURITYFOCUS.COM References: <200004240626.AA00388@TEST-SERVER.cc.rim.or.jp> MIME-Version: 1.0 Content-Type: text/plain; charset=ISO-2022-JP Content-Transfer-Encoding: 7bit X-Mailer: Becky! ver 1.25.07 Message-ID: <3904EF942E9.3773HIDEAKI@172.17.3.1> Date: Tue, 25 Apr 2000 10:06:28 +0900 Reply-To: Hideaki Ihara Sender: BUGTRAQ-JP List From: Hideaki Ihara Subject: Re: [IIS] =?ISO-2022-JP?B?GyRCJSIlKyUmJXMlSCVtJUMlLxsoQg==?= =?ISO-2022-JP?B?GyRCJSIlJiVIOGUkSyVtJTAlJCVzJEckLSRrISMbKEI=?= X-To: BUGTRAQ-JP@SECURITYFOCUS.COM To: BUGTRAQ-JP@SECURITYFOCUS.COM In-Reply-To: <200004240626.AA00388@TEST-SERVER.cc.rim.or.jp> こんにちは、Port139 伊原です。 On Mon, 24 Apr 2000 15:26:01 +0900 Tomoki Sanaki wrote: > ということで、HTTP での認証についても同様だと思われます。(推測) 手元でテストしてみましたが同様でした。 > [問題点] と思われる事柄 > > 「Microsoft Internet Information Server 4.0 > セキュリティ チェックリスト」 > http://www.microsoft.com/japan/security/iis/checklist.htm > には、そのような設定(先ほどのレジストリの追加)をしなさいとは > 書かれていません。 > > さらに、イベントビューアには、 > アカウントロックアウト後のログイン > (テスト方法の 5.)が残らないようです。 > > つまり、Web & FTP サーバが立ち上がっているサイトで、 > アカウントロックアウトを設定している場合、 > アカウントロックアウトのイベントがログに残っていたら、 > その後で、攻撃者がログインに成功していたかも知れません。 IIS に関連するサービスに対して、正規ユーザーが、(アカウント ロックアウトが発生する)15分以内にログオンしていた場合に危険 があるという理解で宜しいでしょうか? すなわち、アタッカーは正規ユーザーがログオンしたあと 15分以内 であればアカウント ロックアウトの影響を受けずにパスワード推測 攻撃を行える。 アタッカーは、キャッシュ中のパスワードを(正規ユーザーがログ オンしてから)15分以内に発見することができれば、ターゲットに ログオンすることができる。 (ただし、IIS に関連したサービスへのログオンに限る) 正規ユーザーのログオンから、15分経過した場合認証情報のキャッ シュはクリアされる。その際、アカウント ロックアウト状態にある 場合には、以後正規ユーザーもログオンすることはできない。 解決策としては、IIS のパラメータ UserTokenTTL を短くすること で、15分という猶予をより短く(最小 30秒)することが可能。 もしくは、15分以内(猶予時間中)には発見することができないよ うな複雑なパスワードをつけておく。 --- Hideaki Ihara hideaki@port139.co.jp http://www.port139.co.jp/