Újabb biztonsági rést találtak az IIS webszerver-platformon
Hétfőn a Microsoft is elismerte, hogy egy újonnan felfedezett biztonsági résen keresztül támadható az Internet Information Services (IIS) webszerver-platformjának több verziója, a cég azonban egyelőre nem látja kritikusnak a helyzetet.
A szoftvercég weboldalán szereplő biztonsági feljegyzés szerint a hiba a webszerver jogosultságkezelési protokolljához köthető. A biztonsági rést kihasználva a támadók egy speciálisan szerkesztett HTTP-lekérés segítségével juthatnak magasabb jogosultsági szinthez, így többek közt hozzáférhetnek a szerveren tárolt összes adathoz, valamint kártékony kódot tölthetnek fel a kiszolgálóra.
A Microsoft egyelőre vizsgálja, hogy a biztonsági rés pontosan mekkora veszélyforrást jelenthet, a Microsoft Security Resource Center egyik mérnöke, Jonathan Ness addig is igyekszik megnyugtatni a webszervert használó cégeket, intézményeket. A szakember blogbejegyzésében így egyebek mellett az olvasható, hogy a sérülékenység csak bizonyos IIS-konfigurációk esetén áll fenn, hozzátéve, hogy az IIS legújabb, 7-es változata már nem támadható ezzel a módszerrel.
A szoftvercég szerint az újonnan felfedezett biztonsági rés csak azokra az IIS-konfigurációkra jelent veszélyt, melyeknél aktív a WebDAV (Web-based Distributed Authoring and Versioning) HTTP-kiterjesztés, kiemelve, hogy ez a funkció alapesetben nincs bekapcsolva az IIS 6.0-t futtató Windows Server 2003-nál. A múlt héten felfedezett, azóta a Cisco és a US-CERT által is megerősített biztonsági rés jelentette valódi veszély kapcsán jelenleg a biztonsági szakértők véleménye is megoszlik: A hibát felfedező görög szakértő, Nikolaos Rangos szerint már az önmagában potenciális veszélyt jelent, hogy a támadók feltölthetik a rosszindulatú kódot a szerverre, egy belga szakember, Thierry Zoller úgy véli, a sérülékenység akkor jelentene igazán komoly problémát, ha a támadók futtathatnák is ezeket a kódokat, az viszont egyelőre nem bizonyított, hogy a jogosultságkezelési hiba erre lehetőséget ad.
A szoftvercég a vizsgálat lezárásáig egyelőre azt tanácsolja az IIS korábbi verzióit használó ügyfeleinek, hogy óvatosságból kapcsolják ki a WebDAV kiterjesztést. A cég biztonsági figyelmeztetésében a vizsgálat eredményétől függően a biztonsági rést befoltozó patch megjelenését helyezte kilátásba, melynek legvalószínűbb megjelenési időpontja a három hét múlva esedékes, június 9-i patch-keddre tehető.