Nieuws
image

Ernstig lek in Microsoft IIS

dinsdag 1 september 2009, 09:01 door Redactie, 5 reacties

Beveiligingsonderzoeker Kingcope heeft een proof-of-concept exploit gepubliceerd voor een ernstig lek in Microsoft IIS 5 en 6, waardoor een aanvaller het systeem kan overnemen. Een patch van Microsoft is nog altijd niet verschenen. De exploit die op de Full-Disclosure mailinglist verscheen, is gemaakt voor Windows 2000 en gebruikt anonieme FTP login om met de kwetsbare server verbinding te maken. Op deze server maakt het via het MKDIR commando twee directories aan. De aanval zelf wordt uitgevoerd via het NLST (name list) commando voor het weergeven van de inhoud van een directory. Microsoft IIS heeft als webserver een marktaandeel van 22%.

Zero-day
Volgens de Zwitserse beveiligingsexpert Thierry Zoller is het lek ook in IIS 6 aanwezig, maar zou die vanwege aanwezige beveiligingsmaatregelen niet op dezelfde manier te misbruiken zijn. Het US-CERT adviseert systeembeheerders om anonieme gebruikers geen schrijfrechten op de FTP-server te geven.

Het team van Offensive Security, bekend vanwege de BackTrack hackertoolkit, vraagt zich af hoe lang de zero-day exploit al bekend is. Daarnaast is het mogelijk om de huidige exploit te gebruiken in combinatie met een grotere payload, in dit geval een bindshell. Deze video demonstreert de aanval.

Reacties (5)
01-09-2009, 11:14 door Anoniem
Jaren geleden had Microsoft een FTP server die volledig open stond, mogelijk door fouten in IIS. Gigabytes aan data, waaronder klantbestanden waren zichtbaar en downloadbaar.

Normaliter bestond de beveiliging uit het onzichtbaar maken van bestanden, je moest dus een bestandsnaam weten.
01-09-2009, 13:47 door Anoniem
Sinds wanneer is anonieme toegang met schrijfrechten geen beveiligings issue meer?
Denk dat wanneer je via deze exploit gehackt wordt je toch eens even goed achter je oren moet krabben!
01-09-2009, 22:24 door Anoniem
Leuk om een webserver uit 2003 te testen... misschien eens de webserver uit 2008 proberen (IIS 7)

Deze geweldig web-beheerder zal zeer waarschijnlijk geen IIS lockdown en dergelijke gebruikt hebben en alle best-practices voor het gebruik van IIS gevolgt hebben. FTP op het internet en zeker met schrijfrechten voor anonieme accounts zijn zelf bij windows-beheerders erg zeldzaam, laat staan dat een dergelijk systeem daadwerkelijk gevoelige informatie zal bevatten en toegang tot de rest van het netwerk verschaft.

Desondanks vond ik het een leuk filmpje en het is goed dat er dit issue ter discussie wordt gesteld, alleen stel ik me toch wat vragen in hoe verre dit echt representatief is.
02-09-2009, 08:52 door Anoniem
Ja hoor, natuurlijk is het weer een ERNSTIG lek, want het gaat toch om Microsoft?
02-09-2009, 10:47 door Anoniem
Wat hier niet wordt vermeld, is dat het alleen voor Windows 2000 geldt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure