Microsoft heeft haar gebruikers gewaarschuwd voor een ernstig beveiligingslek in de Internet Information Services waardoor een aanvaller het systeem via FTP kan overnemen. De kwetsbaarheid verscheen gisteren op de Full-Disclosure mailinglist en bevindt zich volgens de softwaregigant in IIS 5.0, 5.1 en 6.0. Bij Windows 2000 en Small Business Server 2003 is de FTP service standaard geïnstalleerd. Bij Windows XP en Server 2003 is dat niet het geval. Daarnaast lopen systemen alleen risico als "niet vertrouwde" FTP-gebruikers schrijfrechten hebben, iets wat standaard ook niet het geval is. Microsoft merkt verder op dat IIS 6.0 minder risico loopt, omdat het met de /GS compiler optie is gecompileerd. "Dit verhelpt het beveiligingslek niet, maar maakt misbruik een stuk lastiger."

Oplossing
Het beveiligingslek wordt veroorzaakt door het weergeven van een lange, speciaal geprepareerde directory naam. De aanvaller moet rechten hebben om deze map te maken en kan vervolgens via een stack overflow code uitvoeren met de rechten van LocalSystem.

Hoewel er nog geen aanvallen in het wild bekend zijn, kunnen beheerders in afwachting op een patch verschillende maatregelen nemen. Het gaat dan om het uitschakelen van de FTP service, schrijfrechten van niet vertrouwde gebruikers uitschakelen en de NTFS file system permissies aanpassen, zodat FTP-gebruikers geen directories kunnen aanmaken. Beheerders die Snort draaien kunnen via deze rules detecteren of er een aanval plaatsvindt. Een andere mogelijkheid is het zelf bekijken van de logbestanden, zoals Microsoft op deze pagina uitlegt.