25 grudnia 2009
Luka Zero Day we wszystkich wersjach Microsoft IIS! [Aktualizacja]
piątek, grudnia 25, 2009 | Autor:
\m/ojtek
Soroush Dalili, brytyjski specjalista od bezpieczeństwa aplikacji internetowych oraz systemów operacyjnych z rodziny Windows, opublikował informacje dotyczące nowej luki Zero Day odkrytej przez siebie we wszystkich wersjach Microsoft Internet Information Services.
Odkryty błąd ma związek ze sposobem, w jaki serwer IIS przetwarza nazwy plików zawierające znak średnika. Wiele serwisów zezwalających użytkownikom na przesyłanie do serwera własnych plików (np. plików .jpg służących jako awatary) odrzuca potencjalnie niebezpieczne formaty, takie jak choćby pliki zawierające aktywne strony ASP (.asp). Odkryta luka pozwala na łatwe obejście takiego mechanizmu zabezpieczającego, poprzez dodanie do nazwy potencjalnie niebezpiecznego pliku znaku średnika wraz z akceptowanym przez serwer rozszerzeniem (np. avatar.asp;.jpg). Taki plik zostanie zaakceptowany i pobrany przez serwer tak jak zwykły plik .jpg. Jednak w momencie jego otwarcia, plik ten zostanie przez IIS zinterpretowany jako kod ASP i wykonany przez moduł asp.dll.
Ze wstępnych informacji wynika, że wszystkie serwery IIS pozbawione dodatkowej kontroli formatu pliku są w wyniku powyższej luki podatne na wykonanie dowolnego kodu. Secunia, duńska firma zajmująca się między innymi śledzeniem oraz klasyfikowaniem nowych zagrożeń, potwierdziła do tej pory istnienie błędu w pełni zaktualizowanym systemie Windows Server 2003 R2 SP2 (IIS 6). Przedstawiciel firmy Microsoft zapewnił natomiast, że gigant z Redmond rozpoczął już analizę zgłoszonego problemu.
Wobec braku poprawki zamykającej lukę lub oficjalnego poradnika zabezpieczeń firmy Microsoft, administratorzy serwerów IIS powinni rozważyć odebranie praw wykonania z lokacji, do których trafiają pliki ładowane przez użytkowników serwisów.
[Aktualizacja]
Soroush Dalili zaktualizował swą publikację. Z najnowszych informacji wynika, że błąd obecny jest w IIS w wersji 6 oraz starszych. Wersja 7.5 nie jest podatna na opisany atak, natomiast wersja 7 nie została jeszcze do końca przetestowana.
Informacje na temat najnowszej luki Zero Day w Microsoft IIS, jako pierwszy w Polsce opublikował serwis HARD CORE SECURITY LAB!
Luka Zero Day we wszystkich wersjach Microsoft IIS! [Aktualizacja]
2009-12-25T11:43:00+01:00
\m/ojtek
Newsy|Sieci komputerowe|Windows|
Subskrybuj:
Komentarze do posta (Atom)
Wyszukaj w HCSL:
Subskrybuj:
Najpopularniejsze artykuły wszech czasów:
- Urządzenia do kopiowania kart płatniczych
- Co tak naprawdę ujawniasz w Internecie?
- Dlaczego należy zasłaniać klawiaturę bankomatu?
- Publiczna wiadomość z ukrytym przekazem
- Przyszłość antywirusów jest jasna
- Sposób na obejście internetowych blokad
- Superbezpieczne hasła na... żółtej karteczce
- Funkcje sprzętowego kasowania danych w HDD!
- 12-latek odkrył krytyczną lukę w Firefoksie
- Przestępstwo nie popłaca
- Czy jesteśmy inwigilowani przez chiński sprzęt?
- Gotowy zestaw do podsłuchiwania GSM
- Jak działa internetowa mafia?
- Uwaga na nowy rodzaj ataków phishingowych!
- Microsoftowy poradnik dla organów ścigania!
- Polski super-bezpieczny system Qubes OS
- Dane wieczyście dostępne
- Pierwszy atak samochodowych crackerów
- Pliki PDF zdolne do wykonania dowolnego kodu
- Polskie służby współpracują z firmą Google?
- Więzienie za odmowę ujawnienia hasła
- Podrzucanie dziecięcej pornografii
- Zapomniany film o hakerach
- Łamanie haseł w Windows Vista i 7