Od ostatniego dnia sierpnia dostępny jest w Internecie exploit wykorzystujący nieznaną wcześniej lukę w usłudze FTP popularnego oprogramowania serwerowego Microsoft Internet Information Services (IIS). Firma z Redmond do tej pory nie wydała łaty usuwającej niebezpieczeństwo, ale – jak zapewnia – cały czas nad tym pracuje.

Problem tkwi w parserze nazw katalogów – użycie komendy NLST (NAME LIST) ze specyficznym ciągiem znaków powoduje przepełnienie bufora stosu (stack-based buffer overflow). W wyniku tego możliwe jest wykonanie dowolnego kodu na atakowanym systemie, lub ewentualnie zawieszenie aplikacji (atak Denial-of-Service).

Aby tak się stało, atakujący musi mieć dostęp do konta użytkownika na serwerze FTP, który ma prawo do zapisu (by utworzyć katalog o ’specjalnej’ nazwie). Upubliczniony pierwotnie exploit (jak i te późniejsze) wykorzystują użytkownika anonymous. Oczywiście istnieje także możliwość włamania się na inne konto, np. łamiąc hasło.

Podatne na atak są wersje IIS 5.0 (Windows 2000), IIS 5.1 (Windows XP) oraz IIS 6.0 (Windows Server 2003). IIS 7.0 (Windows Vista, Windows Server 2008) nie jest zagrożony. Tymczasowym rozwiązaniem (tzw. workaround), a właściwie oddaleniem problemu, jest odebranie praw zapisu dla konta typu anonymous i innych bezhasłowych. Ewentualnie wyłączenie w usłudze FTP tych kont. Należy jednak pamiętać, że to rozwiązanie nie gwarantuje bezpieczeństwa – działa tylko na upublicznione do tej pory exploity. Dalej istnieje możliwość ataku z poziomu innych użytkowników. Istnieje jeszcze rozwiązanie blokowania z poziomu systemu plików NTFS możliwości tworzenia katalogów przez użytkowników z grupy FTP, ale to dotknie wszystkie konta FTP oraz zabezpieczy przed wstrzyknięciem kodu, ale nie przed atakiem DoS. Kroki pokazujące jak wykonać te wszystkie operacje znajdują się w opisie luki na stronach Microsoft.

Niektóre doniesienia sugerują jednak, że nie jest wymagane utworzenie katalogu do samego ataku DoS, a być może nawet da się bez tego także wykonać kod. Warto wspomnieć, że usługa FTP nie  startuje w domyślnej konfiguracji IIS, a anonimowy użytkownik nie jest dostępny w domyślnej konfiguracji FTP.

Dostępne są reguły do systemu IDS Snort wykrywające ten konkretny atak, stworzone przez społeczność Emerging Threats. Także oficjalne reguły Snort dotyczące FTP mogą wykryć ten atak, w szczególności: reguła nr 2374 (FTP NLST overflow attempt), 3441 (FTP PORT bounce attempt), 1973 (FTP MKD overflow attempt), oraz 1529 (FTP SITE overflow attempt).

Więcej informacji:

• komunikat US-CERT: www.kb.cert.org/vuls/id/276653
• Microsoft Security Research & Defense: blogs.technet.com/srd/archive/2009/09/01/new-vulnerability-in-iis5-and-iis6.aspx
• oficjalny opis luki Microsoft (Security Advisory): www.microsoft.com/technet/security/advisory/975191.mspx

Tags: buffer overflow, DoS, exploit, FTP, IIS, luka, malicious websites, Microsoft, podatność, złośliwe strony

Wpis utworzony 4 września 2009 o 12:51 i umieszczony w kategorii Posty. Możesz śledzić wszystkie odpowiedzi korzystając z RSS 2.0 Komentarze i pings sa zablokowane