Könnyen átverhető az IIS

A Microsoft megerősítette, hogy a karácsony előtt tudomására jutott IIS-sebezhetőség valódi, és vizsgálja az ügyet. A cég szerint alapesetben nem sebezhető a szoftver, ahhoz nagyon megengedő beállításokat kell alkalmaznia a rendszergazdának.

Éppen az ünnepi szünet megkezdésekor pattant ki, hogy a Microsoft Internet Information Services szerverszoftvere egy olyan fájlformátum elemző hibát tartalmaz, mely lehetővé teszi, hogy egy végrehajtható .ASP állomány kikerülje a biztonsági rutinellenőrzést, majd mégis lefusson. Ehhez mindössze egy pontosvesszővel tagolt .JPG kiterjesztést kell adni az ASP-fájlhoz, tehát például kepek.asp;.jpg. A vizsgálat folyamatban, egyelőre nem tudni, a Microsoft mihez kezd a kérdéssel.

A támadás a jelek szerint az IIS 6.0-ig bezárólag érinti a szoftvert. A Microsoft szerint a támadás kivitelezéséhez a felhasználónak írási joggal kell rendelkeznie egy olyan könyvtárhoz, melynek végrehajtási joga van, vagyis ésszerű körülmények közepette csak a kifejezetten megbízható felhasználók által elérhető IIS-szolgáltatást kiaknázva lehet támadást intézni a szerver ellen. Normál esetben a felhasználó vagy nem rendelkezik írási joggal sem, vagy ha igen, akkor sem hajthat végre kódot egyből éles rendszeren.

A Microsoft Sercurity Response Center hivatalos blogja IIS biztonsági tanácsokat is ad annak érdekében, hogy maximalizáljuk IIS-telepítéseinket. Állítja, egyelőre nincs a cégnek tudomása arról, hogy támadások lennének folyamatban, ugyanakkor elismeri, hogy az ügyfelek veszélynek vannak kitéve, mivel a támadás módja publikus. Az erős azonosítási és jogosultsági politikán túl a megbízhatónak ítélt felhasználók esetében is védelmet ad a fájlnév automatikus, random átnevezése, vagy a feltöltési könyvtártól a végrehajtási jogok megvonása is.