Hackere udnytter ny sårbarhed i Microsofts webserver

En sårbarhed i IIS 6 kan udnyttes til at få adgang til at up- eller downloade filer, som normalt ville være beskyttet af login.

En ny sårbarhed i den foregående udgave af Microsofts webserver Internet Information Services 6, IIS 6, bliver udnyttet af hackere, advarer den offentlige it-sikkerhedstjeneste US-CERT.

Det drejer sig om en sårbarhed i måden, hvorpå IIS 6 fortolker HTTP-forespørgsler med Unicode-tegn. Mere præcist hænger sårbarheden angiveligt sammen med WebDAV-funktionen i IIS, som bruges til at give brugere adgang til filer på webserveren.

Sårbarheden gør det muligt for en hacker at få adgang til at uploade og downloade vilkårlige filer til webserveren uden at have et gyldigt brugernavn og adgangskode.

WebDAV bruges af blandt andet Exchange og Sharepoint, men det ser ikke umiddelbart ud til, at sårbarheden gør disse to produkter sårbare, oplyser den sikkerhedsekspert, som først beskrev sårbarheden, ifølge InfoWorld.

Microsoft har endnu ikke officielt bekræftet sårbarheden, men både US-CERT og flere andre kilder bekræfter, at der findes offentligt tilgængelige exploits, som kan bruges til at udnytte sårbarheden.

En mulig midlertidig løsning på sikkerhedsproblemet kan være at slå WebDAV fra, men det kan påvirke funktionaliteten af eksempelvis Sharepoint.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bob Hagenstrup

Så er det godt man kører IIS 5. Magen til kvalitetsprodukt skal man lede længe efter. Besynderligt hvordan Microsoft opnår det perfekte og derefter alligevel laver nye versioner... Sådan er det vel når man skal lave nye produkter for at tjene flere penge! Deres Gud er mammon!

  • 0
  • 0
Peder Mikkelsen

Hvis man kan tro på isc.sans.org og Thierry Zoller, og det plejer man at kunne, er IIS 6 og 7 kun ramt hvis man har givet IUSR_computernavn skriverettigheder i filsystemet:

http://isc.sans.org/diary.html?storyid=6397

SharePoint anvender ikke IUSR_computernavn, hverken når man får vist en dokumentliste i stifinder eller når man opretter og gemmer et nyt dokument i en dokumentliste.

  • 0
  • 0
Log ind eller Opret konto for at kommentere