IISサーバの脆弱性を狙った攻撃、米大学で発生か--The Register報道

　The Registerの報道によると、MicrosoftのInternet Information Services（IIS）に存在しているゼロデイ脆弱性がハッカーによってさっそく悪用されたという。

　インディアナ州マンシーのボール州立大学がThe Registerに語ったところによると、IISサーバが米国時間5月18日に侵入を受けたという。なお、Microsoftは同日、この脆弱性について警告を発していた。

　The Registerの記事（英国時間20日付け）によると、18日に同大学のウェブサイトであるiWebにアクセスした学生らは、システムがハッキングされたというメッセージを目にすることになったという。同大学のコンピューティングサービス部門におけるヘルプデスクサポートの上級管理者であるPatty Lucas氏によると、データが盗まれたり、悪意のあるファイルがアップロードされたりした形跡はないものの、iWebアカウントは21日か22日までは利用できない状態が続くという。

　同コンピューティングサービス部門は、20日午後に連絡を取ったCNET Newsに対して、コミュニケーション部門に連絡するよう回答したが、コミュニケーション部門はその時点で同日の業務を既に終了していた。

　一方、Microsoftは、IISの脆弱性を狙った攻撃について公開されている報告書を調査したとコメントした。ただし、同社が調査したのがボール州立大学への侵入に関するものかは明言しなかった。

　Microsoftの広報担当者は20日遅く、調査により「同脆弱性は、今回の攻撃の実行において利用されなかったことが判明した」と、電子メールで述べた。「Microsoftでは現在、同脆弱性を利用しようとする攻撃や顧客に対する影響について、認識はない」（同社）

　Microsoftのセキュリティ情報によると、攻撃者がこの脆弱性を悪用した場合、特別に細工した匿名のHTTPリクエストを作成し、通常は認証が必要な場所へアクセスできる可能性があるという。また、この問題は、IISのWebDAV拡張がHTTPのリクエストを処理する方法に存在しているという。

　15日付けのFull Disclosureセキュリティメーリングリストへの投稿によると、IISのセキュリティ脆弱性はNikolaos Rangos氏によって12日に発見されたという。