Microsoft IIS 6.0 WebDAV Remote Authentication Bypass

( trey | 2009. 05. 17., v - 09:54 )
Bug

A Full Disclosure listán bukkant fel egy PDF fájl, amely egy olyan, eddig még javítatlan, az Microsoft Internet Information Server (IIS) 6.0-val kapcsolatos biztonsági sebezhetőségre hívja fel a figyelmet, amelynek sikeres kihasználása tetszőleges fájl le- és feltöltését, illetve könyvtárlistázást tesz lehetővé jelszóval védett WebDAV folder-eken.

A H Security témába vágó cikke szerint a probléma nem korlátozódik kizárólag a WebDAV folder-ekre, hanem érinti a webszerver által kontrollált összes könyvtárat.

A WebDAV alapértelmezetten nincs nincs engedélyezve. A biztonsági szakemberek azt javasolják, hogy a problémában érintett rendszereket futtatók a hiba javításáig tiltsák le a WebDAV-ot, vagy gondoskodjanak arról, hogy !biztonságos helyről ne lehessen elérni a webszervert.

A jelenlegi hibához hasonló hibát fedeztek fel 2000-ben az IIS 4 és 5 verziókban. Thierry Zoller blogjában hasonlítja össze a régi és az új bugot.

Referenciák:
IIS6 + webdav and unicode rides again in 2009
Microsoft IIS 6.0 WebDAV Remote Authentication Bypass
Security hole in IIS 6.0

( strangelove | 2009. 05. 17., v - 14:13 )

Degenerált UTF-8 parser lehet az ok?

Emlékeztető primitív nullmérgezési lehetőségre:
%c0%80 == %00 (és még négyféleképp lehet Unicode nullás kódú karaktert küldeni)

Jelen esetben dekódolás után:
%c0%af == %2f == '/' (mert 0xC0.0xAF = b11000000 b10101111 bit-tizenegyes, nullával feltöltve szóhatárig a nagyobb helyiértékű biteken) 

GET /..%c0%af/protected/protected.zip HTTP/1.1
Translate: f
Connection: close
Host: servername

esetén tulajdonképpen így fogja értelmezi a kérést az IIS:

GET /..//protected/protected.zip HTTP/1.1
Translate: f
Connection: close
Host: servername

[szerk.]

ami át van húzva, azt teljesen fölösleges elolvasni. az olyan, mintha ott sem lenne