0-dagsårbarhed fundet i Microsofts webserver IIS 5.0

Version 5.0 af Microsofts webserver IIS indeholder en kritisk sårbarhed, der kan give uvedkommende adgang til serveren gennem dens FTP-tjeneste. Sårbarheden er endnu ikke patchet.

En hacker, der går under navnet Kingcope, har fundet et sikkerhedhul i FTP-tjenesten i Microsofts webserver IIS, Internet Information Services. Det skriver flere internationale medier.

Kingcopes exploit er lagt ud på hjemmesiden milw0rm.com og er blevet afprøvet og sagt god for af sikkerhedsfolk på mailinglisten Full Disclosure.

Sikkerhedshullet er endnu ikke patchet, og det kan udnyttes af ondsindede personer til at få adgang til Microsoft-serveren. IIS er på verdensplan i popularitet kun overgået af webserveren Apache.

Sårbarheden er til stede i IIS 5.0 under Windows 2000, og på trods af indledende rapporter om samme sårbarhed i version 6.0, har Kingcope selv afvist dette på mailinglisten Full Disclosure.

Der er tale om et remote root exploit, og dermed kan der under de rette omstændigheder opnås fjernadgang til webserveren på administratorniveau.

Ifølge webmediet Heise Online sker dette gennem shell code, som er skræddersyet til Windows 2000 og benytter et anonymt FTP-login til at forbinde til serveren. Herefter oprettes to biblioteker på serveren, og selve angrebet sker ifølge Heise tilsyneladende gennem kommandoen NLST (name list), der viser indholdet af et bibliotek.

Da der endnu ikke er udsendt et patch, der lukker af for sårbarheden, er det nemmeste forsvar for systemadministratoren at lukke af for FTP-adgang til alle på nær kendte og betroede brugere.

IIS er i skrivende stund i version 7.5.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Flemming Frandsen

Jo, det er jo netop fordi FTP er meget svær at implementere korrekt at man har kunnet komme af sted med at lave den fejl.

FTP er jo stort set "telnet med filer" og den var "designet" en gang i forrige stenalder hvor ingen nogen sinde kunne forestille sig at der var banditter på Internettet.

  • 0
  • 0
#4 Alexander Færøy

Jo, det er jo netop fordi FTP er meget svær at implementere korrekt at man har kunnet komme af sted med at lave den fejl.

Det er et helt almindeligt stack overflow.

Hvis du endelig skal udtale dig om noget du ikke ved noget om, så gør dog dig selv den tjeneste at læse på lektien inden. Der har været stack overflows i tonsvis af internet services igennem de sidste årtier.

Du kan helt sikkert finde implementeringer af SFTP og/eller https+webdav, der også har haft stack overflows i deres implementeringer.

Hvis du endelig skulle snakke om hvad der er implementeret forkert, så er det da, at styresystemet lader denne fejl være så kritisk, at det er et root-exploit.

Privilege separation, anyone?

[1] Et eksempel: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0109

  • 0
  • 0
#5 Flemming Frandsen

0: Ja, selvfølgelig kunne samme fejl være i alle andre protokoller og selvfølgelig kunne ms da bare have brugt noget privilege separation eller evt. bare tænkt sig ordentligt om da de pillede med implementationen.

... men

1: Jo styggere protokollen er jo mere sandsynligt er det at der går noget galt og det er gået galt med FTP rigtigt mange gange for mange forskellge implementationer.

2: FTP er også en gammel usexet ting at arbejde på, så mon ikke det har forstærket tendensen til at lade være med at kige alt for grundigt på koden?

Hvis man er det mindste i tvivl om #2 virkelig er en vigtig parameter så tag lige et kig på den her: http://erratasec.blogspot.com/2007/02/trivial-remote-solaris-0day-disabl...

Så, nej, jeg nægter at blive overrasket over at kode-kvalitetens højborg har snublet i deres FTP implementation.

  • 0
  • 0
#6 Alexander Færøy

0: Ja, selvfølgelig kunne samme fejl være i alle andre protokoller og selvfølgelig kunne ms da bare have brugt noget privilege separation eller evt. bare tænkt sig ordentligt om da de pillede med implementationen.

Vi snakker om en fejl i en implementering -- ikke i en protokol. Du bør være mere præcis i dit ordvalg i en teknisk debat.

Så, nej, jeg nægter at blive overrasket over at kode-kvalitetens højborg har snublet i deres FTP implementation.

Jeg er bestemt heller ikke overrasket. Jeg er generelt ikke overrasket, når jeg ser nye tåbelige sikkerhedsfejl af typer som vi har hørt om en milliard gange før. Dog beskylder jeg ikke protokollen for at andre mennesker har dummet sig.

  • 0
  • 0
Log ind eller Opret konto for at kommentere