Microsoft emite advertencia de seguridad para Internet Information Services

3 Sep 2009 en Seguridad

Este pasado martes, Microsoft informó sobre una brecha tipo zero-day en versiones anteriores de su software servidor Web, Internet Information Services (IIS). Ya se publicaron modos de explotación en Internet, si bien Microsoft dice no haber detectado ataques activos.
Un funcionario de comunicación informó que la compañía trabaja en la solución del tema y que emitirá el patch cuando su calidad esté asegurada.
La brecha atañe a las funciones FTP (File Transfer Protocol)en IIS 5.0, 5.1 y 6.0. Muchos usuarios técnicos usan el servicio FTP para tomar archivos desde un servidor tipeando líneas de comando para manejar archivos que están en servidores Web. Las versiones afectadas de IIS son las que venían con : Windows 2000 Service Pack 4 (SP4), Windows XP SP2 y SP3, además de Windows Server 2003 SP2, incluyendo ambas ediciones, de 32-bit y de 64-bit.
Mientras se elabora el patch de seguridad, Microsoft recomienda una maniobra: cambiar los permisos de file system para que los usuarios de FTP no puedan crear nuevos directorios o escribir a directorios FTP como usuarios anónimos. Los usuarios no tendrán así accesso a FTP hasta que no aparezca el patch.
Es posible que el patch tarde algún tiempo y poco probable que llegue a ser incluido en el próximo “martes de patches” de Microsoft. Tampoco quedó claro si el bug es lo suficientemente serio como para que se libere un patch tipo “out of band.”