Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
Return-Path: owner-bugtraq-jp@SECURITYFOCUS.COM References: <200004240626.AA00388@TEST-SERVER.cc.rim.or.jp> MIME-Version: 1.0 Content-Type: text/plain; charset=ISO-2022-JP Content-Transfer-Encoding: 7bit X-Mailer: Becky! ver 1.25.07 Message-ID: <3904EF942E9.3773HIDEAKI@172.17.3.1> Date: Tue, 25 Apr 2000 10:06:28 +0900 Reply-To: Hideaki Ihara Sender: BUGTRAQ-JP List From: Hideaki Ihara Subject: Re: [IIS] =?ISO-2022-JP?B?GyRCJSIlKyUmJXMlSCVtJUMlLxsoQg==?= =?ISO-2022-JP?B?GyRCJSIlJiVIOGUkSyVtJTAlJCVzJEckLSRrISMbKEI=?= X-To: BUGTRAQ-JP@SECURITYFOCUS.COM To: BUGTRAQ-JP@SECURITYFOCUS.COM In-Reply-To: <200004240626.AA00388@TEST-SERVER.cc.rim.or.jp> こんにちは、Port139 伊原です。 On Mon, 24 Apr 2000 15:26:01 +0900 Tomoki Sanaki wrote: > ということで、HTTP での認証についても同様だと思われます。(推測) 手元でテストしてみましたが同様でした。 > [問題点] と思われる事柄 > > 「Microsoft Internet Information Server 4.0 > セキュリティ チェックリスト」 > http://www.microsoft.com/japan/security/iis/checklist.htm > には、そのような設定(先ほどのレジストリの追加)をしなさいとは > 書かれていません。 > > さらに、イベントビューアには、 > アカウントロックアウト後のログイン > (テスト方法の 5.)が残らないようです。 > > つまり、Web & FTP サーバが立ち上がっているサイトで、 > アカウントロックアウトを設定している場合、 > アカウントロックアウトのイベントがログに残っていたら、 > その後で、攻撃者がログインに成功していたかも知れません。 IIS に関連するサービスに対して、正規ユーザーが、（アカウント ロックアウトが発生する）15分以内にログオンしていた場合に危険 があるという理解で宜しいでしょうか？ すなわち、アタッカーは正規ユーザーがログオンしたあと 15分以内 であればアカウント ロックアウトの影響を受けずにパスワード推測 攻撃を行える。 アタッカーは、キャッシュ中のパスワードを（正規ユーザーがログ オンしてから）15分以内に発見することができれば、ターゲットに ログオンすることができる。 （ただし、IIS に関連したサービスへのログオンに限る） 正規ユーザーのログオンから、15分経過した場合認証情報のキャッ シュはクリアされる。その際、アカウント ロックアウト状態にある 場合には、以後正規ユーザーもログオンすることはできない。 解決策としては、IIS のパラメータ UserTokenTTL を短くすること で、15分という猶予をより短く（最小 30秒）することが可能。 もしくは、15分以内（猶予時間中）には発見することができないよ うな複雑なパスワードをつけておく。 --- Hideaki Ihara hideaki@port139.co.jp http://www.port139.co.jp/