(Por El Microsaurio) Todo comenzó la semana pasada, el día 23, con un breve texto de Soroush Dalili, ingeniero electrónico iraní con master en Criptografía en Birmingham, ex-entrenador en pentest del gobierno de Irán (2006), que comentó: “…existe una vulnerabilidad en Microsoft Internet Information Services, que puede ser explotada (…) para pasar por sobre restricciones de seguridad (…) cuando el web server ejecuta código ASP incluido en un archivo que tenga varias extensiones separadas por un punto y coma…”
Así es. Un error de programación en IIS, que no verifica la inoportuna presencia de un “;” en determinado lugar.
Mal año para los pobres administradores de IIS 6, que sufrieron un terrible susto en mayo, cuando se publicó el ataque a WebDAV, y en agosto, cuando apareció el código de ataque para la falla de FTP Server. De todo te informé puntualmente, así que te ahorro los links que me permiten decir “canté pri…”
El amable ingeniero Dalili afirma que este tema lo descubrió el año pasado; que lo probó ahora en un Windows Server 2003 R2 SP 2 donde tiene instalado Microsoft IIS 6.0 y logró entrar como Pancho por su casa (bueno, no dice lo de Pancho, es un refrán español…). Dice que no lo probó en IIS 7, y que en IIS 7.5 no hay fallas.
Desde Securityfocus.com mencionan como posibles afectados a IIS 5.0 y 5.1 sobre Windows 2000, al IIS 6.0 sobre Windows Server 2003 en todas las versiones, a Microsoft BackOffice 4.0 y 4.5 (viejo pero que sigue andando por ahí…).
El respetable Microsoft Security Response Center está que trina; el domingo 27 de diciembre el mismísimo Capo Jerry Bryant publicó un comentario avisando que están investigando la denuncia y cuando tengan analizado el problema sacarán un parche, fuera o dentro de la fecha habitual, y se queja (claro) de que el que publicó el tema no les haya avisado primero a ellos.
El mismo Bryant señaló que el éxito del ataque depende de cómo estén configurados los permisos del IIS, y pide que se lean las Mejores Prácticas de seguridad para IIS 6.0 y un texto sobre cómo mejorar la seguridad de Web Applications, además de recomendar que leyeran la Guía de Operaciones de IIS 6.0. Qué quieren que les diga, me suena tan RTFM…
Don Johannes Ulrich, del Software Security Institute de SANS, publicó estas Ocho Reglas Básicas para implementar de manera segura la carga de archivos en un servidor. Y termina (de manera brillante) con esta frase: “Finalmente, recuerden la Regla Nro. 1 de la seguridad en aplicaciones web: ¡Todos los usuarios son malintencionados!”
Buena suerte, y que no les rompan el IIS.
Ah… dónde está el pdf con las instrucciones para atacar esos servidores…
Dos respuestas:
a) si sos un verdadero admin de IIS 6 y no encontrás el material, escribime y te doy los datos.
b) si sos un curioso y con lo que dice allá arriba no las encontrás, no vas a saber usarlas, así que ese link no te hace falta.
Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291
Warning: Uninitialized string offset 21 in /www/tecnozona.com/htdocs/wp-includes/functions.php on line 291
Soy nuevo en esto del IIS debido a que simpre utilice apache para mis aplicaciones, pero ahora debido al auge de la tecnologia .Net tengo un servidor de aplicaciones con win 2003 SP2 e IIS 6 como puedo verificar que no me rompan el IIS y me pongan toda la cochinada en mi server??
Para Oscar: si el server está configurado «default» este ataque no funciona (dice Microsoft) Si enviás un email al Dire te puedo copiar la técnica de ataque y las observaciones para evitarlo, publicadas por el descubridor de la falla.