Detectan vulnerabilidad en versiones 5 y 6 de servidores Web IIS de Microsoft

20 May 2009 en Seguridad

La advertencia sobre este problema fue emitida este miércoles 20 por Microsoft. Atañe a Internet Information Server (IIS) versiones 5 y 6. Se trata de una vulnerabilidad que puede abrir estos servidores a los atacantes.
US-CERT, organismo de seguridad de los EE.UU., anunció que ya circula en la Web el código para explotar este agujero de seguridad. No se registran aún ataques a escala pero se trata de una brecha tipo zero-day.
Según el alerta de Microsoft, el problema podría ser más serio de no mediar las configuraciones por defecto que protegen a muchos servidores.
“Web-based Distributed Authoring and Versioning (WebDAV) es un conjunto de extensiones HTTP que facilitan la administración y edición de archivos recogidos en servidores remotos. Debido a la forma en que Microsoft IIS implementó WebDAV respecto al manejo de tokens unicode, se puede burlar la autenticación,” informa US-CERT en su sitio.
Microsoft informó que los sitios con un usuario “anónimo” configurado, están en riesgo. Esas cuentas deberían estar bloqueadas por defecto e impedir la explotación de la brecha porque están restringidas por las listas de control de acceso de los file systems de Windows o ACLs (Access Control Lists), las cuales no permiten que un usuario fraudulento se comunique con el servidor.
El ataque se inicia con IIS recibiendo una URL trucada para su proceso y así la cuenta anónima supera la autenticación. Muchos servidores no caerán bajo el control del código malicioso, pero los atacantes podrán leer archivos del servidor.
Microsoft todavía no tiene el arreglo para este defecto, que no afecta a la versión 7 de IIS.
La recomendación es: si no se usa WebDAV, desactivarlo, lo que puede afectar al funcionamiento de SharePoint. Esta brecha es más peligrosa para usuarios de IIS 5 con Windows 2000 porque los servicios WebDAV operan por defecto. IIS 6 con Windows Server 2003 no hace lo propio.
Usuarios de IIS 5 y 6 deberían utilizar el IIS Lockdown y herramientas URLScan de Microsoft.
Las dos deshabilitan a WebDAV y protegen al sistema de este zero-day. Las dos herramientas se muestran en links de la advertencia de Microsoft.