0day biztonsági sebezhetőség a Microsoft IIS egyes verzióiban

Bug

Soroush Dalili egy PDF dokumentumot publikált nemrég, amelyben arra hívja fel a figyelmet, hogy a Microsoft Internet Information Services (IIS) termék különböző verziói olyan biztonsági hibát tartalmaznak, amelyet a támadó sikeresen kihasználva kódot tölthet fel az áldozat webszerverére. A szerző a biztonsági hibát "highly critical for web applications" jelzővel illette. A bejelentés szerint a sebezhetőséget 2008 áprilisában fedezték fel, de csak most, 20 hónappal később, 2009 decemberében publikálták.

A sebezhetőség a felfedező szerint az IIS 6 és korábbi verzióit biztosan érinti. A 7-es verziót egyelőre nem tesztelték, és az is biztosnak látszik jelen pillanatban, hogy az IIS 7.5 nem érintett.

Az ún. "pontosvessző" bug következtében az érintett IIS termékeknek gondja adódik az olyan fájlnevekkel, amelyekhez pontosvesszővel egy újabb kiterjesztést adtak. Például a rosszindulatú támadó által feltöltött "malicious.asp;.jpg" fájlt az érintett IIS termék ASP fájlként fogja végrehajtani. A bejelentés szerint számos fájlfeltöltő csak úgy védi a rendszert, hogy csak a fájlok utolsó szekcióját ellenőrzi azok kiterjesztéseként. Ezért e bug lehetővé teszi a rosszindulatú támadó számára, hogy ezt az ellenőrzést kijátssza és végrehajtható fájlokat töltsön fel az áldozat szerverére.

A bejelentés szerint számos web alkalmazás vált sebezhetővé a fájlfeltöltéses támadásokkal szemben az IIS ezen gyengesége miatt. Egy 2008 nyarán, ismert webalkalmazásokon végzett felmérés azt mutatta, hogy a biztonságos fájlfeltöltők 70%-án keresztüljutottak e sebezhetőséget kihasználva.

A dokumentum tippeket ad a hibából eredő sebezhetőség ideiglenes kiküszöbölésére. A bejelentés szerint számos ismert webes alkalmazás sebezhető, de addig nem nevezik meg őket, amíg a Microsoft ki nem javítja a hibát.

A Secunia szerint a Microsoft IIS 6-ot futtató, teljesen felpatchelt Windows Server 2003 R2 SP2 érintett a problémában, de más verziók is érintettek lehetnek. A Secunia "less critical" sorolta be a hibát. Mindazonáltal az Internet Storm Center fél attól, hogy a problémát hamarosan széles körben ki fogják használni.

A bejelentés letölthető innen. A H Security cikke itt.

A Microsoft részéről Jerry Bryant reagált a bejelentésre a Microsoft Security Response Center-en. Mint írja, vizsgálják a problémát. Bryant szerint ahhoz, hogy az IIS érintett legyen, egy nem alapértelmezett, nem biztonságos konfigurációval kell futnia, de ez ellentétes a Microsoft ajánlásaival. A Microsoft egyelőre nem tud aktív, erre a sebezhetőségre irányuló támadásról.

( STP | 2009. 12. 28., h – 16:59 )

"Bryant szerint ahhoz, hogy az IIS érintett legyen, egy nem alapértelmezett, nem biztonságos konfigurációval kell futnia, de ez ellentétes a Microsoft ajánlásaival."
Jaja, vasbeton bunkerben, hálózat és tápellátás nélkül "üzemelő" IIS-t még senkinek sem sikerült feltörni.

Azért ezt elég gyorsan lehetett volna javítani! 20 hónap q sok erre.

Esetleg, ha elolvasnád mit ir:

"An attacker would have to be authenticated and have write access to a directory on the web server with execute permissions which does not align with best practices or guidance Microsoft provides for secure server configuration."

Write+execute permission-nel rendelkező támadónál nem biztos, hogy az lesz a legnagyobb gondod, hogy jpg-nek álcázott asp(x)-et is fel tud tölteni valaki. Aki pedig tényleg write+execute jogot ad valakinek és abban bizik, hogy majd a feltöltő rutinja nem engedi asp(x) kiterjesztésű file-t feltölteni, az menjen kapálni :)

A 20 hónapot se értem, én úgy értelmezem, hogy 20 hónapja ismeri a problémát a hiba felfedezője, de csak most szólt a ms-nak róla. Persze "jó szokás szerint" nem is a ms-nak szólt róla, hanem nyilvánosságra hozta. Kár, hogy nem a patch kedd után 1 nappal, az igazán fasza gyerekek úgy csinálják.

Az hogy mikor szóltak az MS-nek és mikor publikálták a hibát, na az 2 külön dolog.

Másrészt igen valószínűtlen, hogy csak 1 faszi találta volna meg a hibát, főleg, hogy "Egy 2008 nyarán, ismert webalkalmazásokon végzett felmérés azt mutatta, hogy a biztonságos fájlfeltöltők 70%-án keresztüljutottak e sebezhetőséget kihasználva."

Aztán van még kismillió honeypot, abba is tuti belegyalogolt már néhány támadó.
Szóval lehetett volna ezt időben javítani, ha annyira érdekelte volna őket. Szerintem.

Mostanában amikor ilyen hírt látok (hosszú ideje létező sebezhetőség) egyre inkább az az érzésem hogy az illető program készítőjét vagy nem érdekli a dolog, vagy pedig szándékosan csinál elfuserált munkát. Jelen esetre vetítve nem hiszem hogy nem tudtak a hibáról. Rosszul gondolom?

( snq- | 2009. 12. 28., h – 22:37 )

mivel még nem hangzott így el, de fontos megemlíteni; this bug does not work with ASP.Net as the .Net technology cannot recognize “malicious.aspx;.jpg” as a .Net file and shows a “page not found” error