HARD CORE SECURITY LAB

Soroush Dalili, brytyjski specjalista od bezpieczeństwa aplikacji internetowych oraz systemów operacyjnych z rodziny Windows, opublikował informacje dotyczące nowej luki Zero Day odkrytej przez siebie we wszystkich wersjach Microsoft Internet Information Services.

Odkryty błąd ma związek ze sposobem, w jaki serwer IIS przetwarza nazwy plików zawierające znak średnika. Wiele serwisów zezwalających użytkownikom na przesyłanie do serwera własnych plików (np. plików .jpg służących jako awatary) odrzuca potencjalnie niebezpieczne formaty, takie jak choćby pliki zawierające aktywne strony ASP (.asp). Odkryta luka pozwala na łatwe obejście takiego mechanizmu zabezpieczającego, poprzez dodanie do nazwy potencjalnie niebezpiecznego pliku znaku średnika wraz z akceptowanym przez serwer rozszerzeniem (np. avatar.asp;.jpg). Taki plik zostanie zaakceptowany i pobrany przez serwer tak jak zwykły plik .jpg. Jednak w momencie jego otwarcia, plik ten zostanie przez IIS zinterpretowany jako kod ASP i wykonany przez moduł asp.dll.

Ze wstępnych informacji wynika, że wszystkie serwery IIS pozbawione dodatkowej kontroli formatu pliku są w wyniku powyższej luki podatne na wykonanie dowolnego kodu. Secunia, duńska firma zajmująca się między innymi śledzeniem oraz klasyfikowaniem nowych zagrożeń, potwierdziła do tej pory istnienie błędu w pełni zaktualizowanym systemie Windows Server 2003 R2 SP2 (IIS 6). Przedstawiciel firmy Microsoft zapewnił natomiast, że gigant z Redmond rozpoczął już analizę zgłoszonego problemu.

Wobec braku poprawki zamykającej lukę lub oficjalnego poradnika zabezpieczeń firmy Microsoft, administratorzy serwerów IIS powinni rozważyć odebranie praw wykonania z lokacji, do których trafiają pliki ładowane przez użytkowników serwisów.

[Aktualizacja]
Soroush Dalili zaktualizował swą publikację. Z najnowszych informacji wynika, że błąd obecny jest w IIS w wersji 6 oraz starszych. Wersja 7.5 nie jest podatna na opisany atak, natomiast wersja 7 nie została jeszcze do końca przetestowana.

Informacje na temat najnowszej luki Zero Day w Microsoft IIS, jako pierwszy w Polsce opublikował serwis HARD CORE SECURITY LAB!