4月16日、トレンドマイクロはマイクロソフトのIISの脆弱性を狙い、WebサイトをOSごと強制終了させる攻撃コードを確認したことをブログで公表した。
4月15日に公開された「2015年4月のMicrosoftセキュリティ情報の概要」の4件のうちの1つである「MS15-034「HTTP.sysの脆弱性により、リモートでコードが実行される (3042553)」に対してWebサーバーをOSごと強制終了させる攻撃が可能な実証コード(PoC:Proof of Concept)が公開されたという。実証コードは攻撃が非常に容易である危険性が高いものであるため、トレンドマイクロは脆弱性に該当するWindowsでWebサイトを運営・管理されている管理者に、速やかにアップデートを行なうよう促している。
MS15-034の脆弱性は、Windows内でHTTPの処理を行なう「HTTP.sys」に存在しており、HTTP.sysを使用するWebサーバーが稼働していることが攻撃の条件となる。マイクロソフトの情報によれば、攻撃者はこの脆弱性を利用することにより遠隔からシステムアカウントの権限で任意のコードを実行できる可能性があるという。そのため、脆弱性が存在するWebサーバーに不正プログラムを感染させたり、コンテンツを改ざんするためのバックドアを設置したりできる可能性がある。
MS15-034脆弱性を利用した攻撃により、WebサーバがBSODで強制終了した画面例(トレンドマイクロのブログより抜粋)
今回公開されている実証コードはWebサーバーをBSOD(Blue Screen of Death)状態で強制終了させるもの。IISが稼働している場合にのみ攻撃可能なものであることが確認されている。
