19:52
28/12/2009

Dziura w Microsoft IIS

Soroush Dalili donosi, że za pomocą fuzzingu nazw uploadowanych plików udało się wykonać dowolny kod na serwerze IIS. Luka tkwi w sposobie w jaki IIS interpretuje pliki z wieloma rozszerzeniami oddzielonymi średnikiem

Opis luki w IIS

Wysłanie na serwer pliku o nazwie

malicious.asp;.jpg
w 70 przypadkach na 100 omija ochronę przed “niedozwolonymi” rozszerzeniami. Tak nazwany plik, będący w rzeczywistości nie obrazkiem, a instrukcjami ASP można będzie wykonać. Soroush podsuwa także rozszerzenia .cer i .asa jako ciekawe z punktu widzenia atakującego.

Na atak podatne są serwery IIS w wersji 6 i wcześniejszych. Wersja 7 nie była testowana, a 7.5 jest wolna od opisywanego błędu.

Sposób ochrony

Soroush zaleca, aby webdeveloperzy przypisywali losową nazwę każdemu otrzymywanemu od użytkownika plikowi. Na sam uploadowany plik nałożyć można również walidację — tylko znaki alfanumeryczne. Usunięcie praw do wykonania (Execute) z katalogów do których uploadowane są pliki przez użytkowników także wydaje się być dobrym pomysłem.

Microsoft wspomina, że atakujący, aby przeprowadzić atak, musi być uwierzytelniony i mieć prawo zapisu do katalogu na serwerze, co jest sprzeczne z zaleceniami firmy odnośnie bezpiecznej konfiguracji serwera IIS — tylko kto dziś spotyka rozbudowany serwis, który wyświetla się tylko uwierzytelnionym? Albo popularną webaplikację, która nie pozwala ustawić użytkownikowi swojego zdjęcia profilowego?

Więcej o atakach związanych z przyjmowaniem plików użytkownika na serwer webaplikacji przeczytacie tutaj.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

1 komentarz

Dodaj komentarz
  1. Skoro jest mowa o “dziurze” w IIS, to warto też wspomnieć o bardzo podobnej “dziurze w Apache” występującej w połączeniu z PHP.

    Co mianowicie znaczy ten zapis w konfiguracji:

    AddType application/x-httpd-php .php

    To, że “pliki *.php są obsługiwane przez PHP”? Prawie, ale prawie robi różnicę: Common Apache Misconception (http://isc.sans.org/diary.html?storyid=6139)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: