|
 |
|
ISS技術情報 お客様各位 |
|
| 2002年 4月 8日 東京都新宿区北新宿3−1−16 第2事業本部 セキュリティ営業部 |
|
| 以下リリースが、インターネット セキュリティ システムズ株式会社より発行されましたので、ご案内致します。 |
|
IISのUnicodeエンコーディングに関するFalse Positiveについて |
|
| RealSecure Network Sensorの下記三つのシグネチャーにおいて、False Positiveが頻繁に発生することがあります。本文書ではこの問題についてレポートします。 ● 6994 HTTP_IIS_Unicode_Encoding ● 6995 HTTP_IIS_Unicode_Wide_Encoding ● 7200 HTTP_IIS_UTF8_Evasion 対象: RealSecure Network Sensor 5.0、6.0 XPU 3.4以降(XPU 4.2も含む) RealSecure Network Sensor 6.5 現象: 検索エンジン等で日本語を使用して検索するもしくは登録ページ等で日本語を入力したような場合、XPU 3.4以上のX-Press Updateを組み込んだRealSecure Network Sensor 5.0および6.xにおいて、これらのシグネチャーによるFalse Positiveが頻繁に発生することがあります。 原因: これら三つのシグネチャーは、MicrosoftのIIS(PWSも含む)が許可する非標準のエンコード方式を用いて攻撃文字列をエンコードすることで、RealSecureをはじめとする複数のIDSの検知を回避しようとする試みを検知します。 http://www.iss.net/security_center/alerts/advise95.php http://www.isskk.co.jp/support/techinfo/general/unicode_xforce.html XPU 3.2でHTTP_IIS_Unicode_EncodingとHTTP_IIS_Unicode_Wide_Encodingが追加され、XPU 3.3でHTTP_IIS_UTF8_Evasionシグネチャーが追加されました。さらにXPU 3.4にてシグネチャーのアルゴリズムの改善が図られました。XPU 3.2とXPU3.3のリリース文はそれぞれ下記をご参照ください。 XPU 3.2:http://www.isskk.co.jp/support/XPressUpdates/RS/RS60NS_MU32RNj.html XPU 3.3:http://www.isskk.co.jp/support/XPressUpdates/RS/RS60NS_MU33RNj.html XPU 3.4でアルゴリズムの改善を試みた結果、UnicodeやUTF8でエンコードされた日本語文字列がURL中に含まれるようなhttpリクエストに対して、False Positiveが見られるようになりました。具体的には、日本語文字列をエンコードした際に%C0から%EFのいずれかのコードが含まれる場合に、Network SensorにてFalse Positiveが発生します(たとえば「と」は%82%C6とエンコードされるため%C6が該当します)。通常の環境においては、http://google.yahoo.com/bin/query?p=%82%c6&hc=0&hs=0のような、検索エンジンに日本語で検索文字列を入力する場合が該当します。その他、各種登録ページの構築方法によっては、URL中に登録情報がエンコードされて含まれるような場合があります。これらのシグネチャーは、それらのケースもイベントとして検知する可能性があります。 さらにこれらのシグネチャーのレスポンスにRSKILLを設定した場合、下記のような事象が発生する可能性があります。 ● 検索エンジンで日本語での検索ができない ● 特定のページでの日本語での登録ができない またこのFalse Positiveは最新のXPU 4.2でも発生します。 回避策: 残念ながら現状では回避の方法はありません。RealSecureにはCustome Signetureという機能がありますが、正規表現(Regular Expression)機能が一般的な正規表現のサブセットとなっており、この種の文字列を正規表現することができません。 対応: X-Press UpdateにてFalse Positiveが少なくなるよう精度を向上させるべく作業中です。 |
|
以上 |
|
Internet Security Systemsのロゴおよび、Internet Security Systems の各商品はInternet Security Systems, Inc. の商標または登録商標です。その他企業のロゴと製品名はそれぞれの企業の商標または登録商標です。 |