Firma Microsoft potwierdziła istnienie luki w mechanizmach zabezpieczeń Internetowych Usług Informacyjnych w wersji 6.0, 5.0 oraz 5.1. Nieprawidłowe działanie rozszerzenia WebDAV może umożliwić niepowołanym osobom dostęp do chronionych hasłem katalogów.

Dzięki temu mogą oni bez przeszkód pobierać i umieszczać pliki na serwerze. Według Nicolasa Rangosa (odkrywcy luki) przyczyna tkwi w błędnie interpretowanych znakach Unicode przy dekodowaniu adresów URL w żądaniach HTTP obsługiwanych przez rozszerzenie WebDAV. Błąd ten pozwala atakującemu na obejście zabezpieczeń mechanizmu uwierzytelniania.

Do czasu opublikowania stosownych poprawek, Microsoft proponuje kilka rozwiązań:

• wyłączenie WebDAV,
• zweryfikowanie i ewentualną zmianę uprawnień ACL dla anonimowych użytkowników (konto IUSR_NazwaKomputera),
• skorzystanie z narzędzia UrlScan do wyeliminowania niepoprawnych adresów URL.

Przypominamy, że w przypadku IIS 6.0, funkcja WebDAV jest domyślnie wyłączona, a konto anonimowego użytkownika nie posiada uprawnień do zapisu. Firma Microsoft uspokaja również, że błąd ten nie dotyczy najnowszej wersji usługi IIS 7.0.

Więcej informacji na temat luki w usłudze IIS znaleźć można pod adresem:
www.microsoft.com/technet/security/advisory/971492.mspx

Related posts:

1. Windows 7 RC na torrentach zainfekowany
2. Hyper V RC: obsługa do 64 logicznych procesorów oraz Processor Compatybility Mode
3. Nowe pakiety ochrony i zabezpieczenia sieci WWW
4. Microsoft Exchange Server 2010 Beta
5. Bezpłatne e-booki Microsoft Press