Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

További infók az IIS WebDAV sebezhetőséggel kapcsolatban

2009.05.24. 16:53 | buherator | Szólj hozzá!

Az US-CERT szerint már aktívan kihasználják a nem rég felfedezett, IIS 5-ös és 6-os szervereket érintő, autentikáció-megkerülésre alkalmas sebezhetőséget, hivatalos javítás pedig még nincs, az izgalom tehát a tetőfokára hágott. A kedélyek megnyugtatása végett álljon itt egy kis vegyesfelvágott a témában megjelent, hivatalos és nem hivatalos forrásokból származó publikációkból:

Érintett-e vagyok?

A Microsoft SRD blogja szerint azok a kiszolgálók érintettek, amelyek

  • IIS 5.0, 5.1 vagy 6.0 verziókat futtatnak
  • ÉS van olyan könyvtáruk, amelyet az IIS jogosultságkezelő rendszere védi
  • ÉS fájlrendszer szinten engedélyezve van a védett tartalomhoz történő hozzáférés az IUSR_[MasinaNeve] fiók számára
  • ÉS a védett könyvtár szülőkönyvtárához bárki hozzáférhet

Aki nem szeretné ezeket a kérdéseket minden általa karbantartott gép esetében végiggondolni, annak itt van ez az aranyos kis nmap szkript, amely távolról képes kiszimatolni a sebezhetőséget. A dolog apró szépséghibája, hogy a programocska alapesetben egy szótáron mászik végig, hogy megfelelő könyvtárat találjon a támadáshoz, így nem biztos hogy valóban megtalál minden érintett útvonalat.

És mi van ha igen?

Egy videó többet mond ezer szónál:

Rangos bemutatójában jól látható, hogy a jogosulatlan fájlhozzáférésen kívül megfelelő(en ritka) konfigurációk esetében távoli kódfuttatás is elképzelhető - mindkét esetet jó elkerülni.

Hogyan védhetem meg magam?

Kerülőutak használatával:

  • Kapcsold ki a WebDAV-ot (a videón jól látszik hogy ezt hogyan is kell)!
  • Korlátozd a IUSR_[GépNév] fiók hozzáférését a védett könyvtárakhoz fájlrendszer szinten!
  • Használd a Microsoft URLScanjét, vagy más IDS/IPS rendszert! A "Translate: f" kifejezésre állítólag elég hatékony szűréseket lehet beállítani.

Linkek

 

 

Címkék: microsoft bug 0day webdav

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.