Od ostatniego dnia sierpnia dostępny jest w Internecie exploit wykorzystujący nieznaną wcześniej lukę w usłudze FTP popularnego oprogramowania serwerowego Microsoft Internet Information Services (IIS). Firma z Redmond do tej pory nie wydała łaty usuwającej niebezpieczeństwo, ale – jak zapewnia – cały czas nad tym pracuje.

Problem tkwi w parserze nazw katalogów – użycie komendy NLST (NAME LIST) ze specyficznym ciągiem znaków powoduje przepełnienie bufora stosu (stack-based buffer overflow). W wyniku tego możliwe jest wykonanie dowolnego kodu na atakowanym systemie, lub ewentualnie zawieszenie aplikacji (atak Denial-of-Service).

Aby tak się stało, atakujący musi mieć dostęp do konta użytkownika na serwerze FTP, który ma prawo do zapisu (by utworzyć katalog o ’specjalnej’ nazwie). Upubliczniony pierwotnie exploit (jak i te późniejsze) wykorzystują użytkownika anonymous. Oczywiście istnieje także możliwość włamania się na inne konto, np. łamiąc hasło.

Podatne na atak są wersje IIS 5.0 (Windows 2000), IIS 5.1 (Windows XP) oraz IIS 6.0 (Windows Server 2003). IIS 7.0 (Windows Vista, Windows Server 2008) nie jest zagrożony. Tymczasowym rozwiązaniem (tzw. workaround), a właściwie oddaleniem problemu, jest odebranie praw zapisu dla konta typu anonymous i innych bezhasłowych. Ewentualnie wyłączenie w usłudze FTP tych kont. Należy jednak pamiętać, że to rozwiązanie nie gwarantuje bezpieczeństwa – działa tylko na upublicznione do tej pory exploity. Dalej istnieje możliwość ataku z poziomu innych użytkowników. Istnieje jeszcze rozwiązanie blokowania z poziomu systemu plików NTFS możliwości tworzenia katalogów przez użytkowników z grupy FTP, ale to dotknie wszystkie konta FTP oraz zabezpieczy przed wstrzyknięciem kodu, ale nie przed atakiem DoS. Kroki pokazujące jak wykonać te wszystkie operacje znajdują się w opisie luki na stronach Microsoft.

(more…)