Zagrożenia i podatności
Luka w IIS
Firma Microsoft potwierdziła istnienie wykrytej luki w działaniu funkcji WebDAV w usłudze internetowej Microsoftu - Internet Information Services (IIS).
Intruz, który wykorzysta tą lukę może obejść zabezpieczenia dostępu i uzyskać dostęp do katalogów chronionych hasłem, pobierać dowolne pliki czy umieszczać je w katalogach. Główną przyczyną jest błędne tłumaczenie znaków Unicode. Atakujący wysyłając odpowiednie żądanie HTTP GET do serwera WWW może uzyskać dostęp do chronionego katalogu:
GET /..%c0%af/protected/protected.zip HTTP/1.1
Translate: f
Connection: close
Host: servername
Podatne wersje:
- Microsoft Internet Information Services 5.0
- Microsoft Internet Information Services 5.1
- Microsoft Internet Information Services 6.0
Zalecenia:
Microsoft planuje wydać łatę usuwającą zagrożenie wraz z comiesięcznymi aktualizacjami. Na chwilę obecną proponowane są dwa obejścia tej usterki: wyłączenie WebDAV albo zablokowanie dostępu dla anonimowych użytkowników. Microsoft także zaleca używanie narzędzia UrlScan, które blokuje przetwarzanie niektórych typów żądań HTTP przez usługi IIS. Dzięki zablokowaniu niektórych żądań HTTP łatwiej jest zapobiegać odbieraniu przez serwer potencjalnie szkodliwych żądań.
Więcej informacji:
http://blog.zoller.lu/2009/05/iis-6-webdac-auth-bypass-and-data.html
http://seclists.org/fulldisclosure/2009/May/att-0134/IIS_Advisory_pdf
http://www.microsoft.com/technet/security/advisory/971492.mspx
