SNS Advisory No.44
Trend Micro OfficeScan Corporate Edition（Virus Buster Corporate Edition） Configuration File Disclosure Vulnerability

Problem first discovered: 29 Aug 2001
Published: 16 Oct 2001

概要：
Trend Micro社製 OfficeScan Corporate Edition（日本語版：Virus BusterCorporate Edition）に、攻撃者がリモートからパスワードを含む設定ファイルを閲覧できてしまう問題を発見しました。

問題：
Trend Micro社製 OfficeScan Corporate Edition（日本語版：Virus BusterCorporate Edition）は企業向けのウイルス対策ソフトウェアであり、簡易配信、リアルタイム管理、リアルタイム設定、管理コンソールからクライアントマシンのパターンファイルの更新などの機能を提供することができます。このソフトウェアが導入された際に、Webベースの管理コンソール機能を提供するためにいくつかの仮想ディレクトリを作成されますが、そのうちのひとつ/officescan/hotdownloadは、外部から無認証でアクセスが可能です。そして、このディレクトリに収められているファイルofcscan.iniは、OfficeScan Corporate Editionの使用する設定ファイルです。この問題が利用されてしまった場合、攻撃者はこのファイルから設定に関する情報を閲覧することができます。また、このファイルには暗号化されたパスワードが収められていますが、これを容易に復号化することは可能です。例えば、以下の文字列は"12345"をOfficeScan Corporate Editionが暗号化したものです：
701F702132
これは特定のアルゴリズムによって生成されており、容易に復号化が可能です。これを利用することにより、認証を通過して管理者としてOfficeScan Corporate Editionの設定を変更することができ、そして、もしも重複したパスワードを使用した他のアプリケーションなどが存在する場合、攻撃者によってさらなる悪影響を受けてしまう可能性があります。

問題を確認したバージョン：
OfficeScan Corporate Edition Ver.3.53
Virus Buster Corporate Edition Ver.3.53

問題を確認したOS：
Windows NT 4.0 Server + SP6a [English]
Windows NT 4.0 Server + SP6a [Japanese]

対策情報：
Virus Buster Corporate Editionにつきましては、この問題に関する修正プログラムが以下のURLから入手可能です。
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=3182
また、OfficeScan Corporate Editionの修正プログラムに関してTrend Micro社に問い合わせましたが、現在までに回答を得ることはできませんでした。

対策情報：
以下はこの問題の影響を可能な限り小さくするための代替案です。

*信頼できないネットワークやホストからWebコンソールへの通信をファイヤウオール等で遮断する

発見者：
新井悠（LAC） y.arai@lac.co.jp

免責：
このアドバイザリで示される情報は予告なしに改定されることがあり、かつ、あるがままの形で提供されます。この情報を適用し生起される結果のリスクは利用者が負うものとし、株式会社ラックは一切の責任を負わないものとします。

再配布について：
このアドバイザリの再配布は、下記条件を満たす限り自由です。

発行元URLとして、以下のURLを明記する。
http://www.lac.co.jp/info/advisory/44.html