Az US-CERT szerint már aktívan kihasználják a nem rég felfedezett, IIS 5-ös és 6-os szervereket érintő, autentikáció-megkerülésre alkalmas sebezhetőséget, hivatalos javítás pedig még nincs, az izgalom tehát a tetőfokára hágott. A kedélyek megnyugtatása végett álljon itt egy kis vegyesfelvágott a témában megjelent, hivatalos és nem hivatalos forrásokból származó publikációkból:

Érintett-e vagyok?

A Microsoft SRD blogja szerint azok a kiszolgálók érintettek, amelyek

• IIS 5.0, 5.1 vagy 6.0 verziókat futtatnak
• ÉS van olyan könyvtáruk, amelyet az IIS jogosultságkezelő rendszere védi
• ÉS fájlrendszer szinten engedélyezve van a védett tartalomhoz történő hozzáférés az IUSR_[MasinaNeve] fiók számára
• ÉS a védett könyvtár szülőkönyvtárához bárki hozzáférhet

Aki nem szeretné ezeket a kérdéseket minden általa karbantartott gép esetében végiggondolni, annak itt van ez az aranyos kis nmap szkript, amely távolról képes kiszimatolni a sebezhetőséget. A dolog apró szépséghibája, hogy a programocska alapesetben egy szótáron mászik végig, hogy megfelelő könyvtárat találjon a támadáshoz, így nem biztos hogy valóban megtalál minden érintett útvonalat.

És mi van ha igen?

Egy videó többet mond ezer szónál:

Rangos bemutatójában jól látható, hogy a jogosulatlan fájlhozzáférésen kívül megfelelő(en ritka) konfigurációk esetében távoli kódfuttatás is elképzelhető - mindkét esetet jó elkerülni.

Hogyan védhetem meg magam?

Kerülőutak használatával:

• Kapcsold ki a WebDAV-ot (a videón jól látszik hogy ezt hogyan is kell)!
• Korlátozd a IUSR_[GépNév] fiók hozzáférését a védett könyvtárakhoz fájlrendszer szinten!
• Használd a Microsoft URLScanjét, vagy más IDS/IPS rendszert! A "Translate: f" kifejezésre állítólag elég hatékony szűréseket lehet beállítani.

Linkek

• Microsoft Security Research and Defense - Legfontosabb infók első kézből
• Microsoft Security Research and Defense - GYIK
• Thierry Zoller még részletesebb összefoglalója