En este Blog Creado Por Ana Del C. Torres, MIS y Profesora UIA es una manera facil rapida y sencilla que se ira actualizando con articulos y enlaces de Tecnologia . Ciencia , Redes . Con temas relacionados con Investigaciones y aportaciones en las Ciencias de Inteligencia Artificial.En Investigaciones Paranormales podras ver articulos y los links de los sites de: Dante Franch,ovni.net entre otros. Todo aquel que desee desarrollar ideas para mejorar este Blog esta bienvenido
Turbinas de Viento
Amazing
Portal De Tecnologia y Ciencias
martes, 19 de mayo de 2009
Grave vulnerabilidad en IIS
Desde hace unos días, estamos viviendo una especie de desafortunada vuelta a principios de esta década por culpa de un grave fallo de seguridad en Internet Information Server, el servidor web de Microsoft. Se ha descubierto una vulnerabilidad "como las de antes" y, lo peor, aprovechando fallos y problemas que parecían pertenecer ya al pasado, como de otro tiempo. Al parecer, el fallo está disparando el número de "desfiguraciones" (defaces) en servidores web con IIS en los últimos días.
HISPASEC.COM
A cualquiera que esté al tanto de las noticias sobre seguridad le sonará que las palabras IIS, WebDAV, unicode y la cabecera "Translate:f" (parte del protocolo WebDAV) son términos que juntos, no han traído nunca nada bueno al servidor de Microsoft en los últimos años. La vulnerabilidad que acaba de ser descubierta combina todos esos elementos. Se ha encontrado un fallo en IIS 6.x a la hora de procesar peticiones http especialmente manipuladas con la cabecera "Translate:f" y con caracteres Unicode. Esto puede permitir a un atacante eludir la autenticación (y subir ficheros si lo permiten los permisos) al disparar un problema de validación en WebDAV.
Vamos a dar un pequeño repaso a las vulnerabilidades que se basaban en alguno de los elementos que Microsoft nunca manejó (ni maneja, por lo visto) demasiado bien.
Antecedentes (1999)
En 1999 se descubrió un fallo clásico en IIS. Introduciendo un punto al final de los archivos ASP en servidores web IIS 3.0 se podía visualizar el código fuente del archivo. Por ejemplo:
servidor.iis.afectado/ejemplo.asp.
La actualización desarrollada para solventar este problema cumplió su trabajo y la "vulnerabilidad del punto" desapareció. Pero el parche obvió la representación hexadecimal del carácter "." (0x2e), por lo que sustituyéndolo en la URL de esta forma:
www.direccion.com/code/ejemplo.asp0x2e
aún se podía descargar el código fuente del archivo ASP. Un parche para el parche solucionó el problema.
Antecedentes (2000)
Se descubrió un error relacionado con el protocolo estándar de Internet WebDAV (Web Distributed Authoring and Versioning) mayoritariamente usado por Microsoft en IIS (venía activado por defecto). WebDAV se trata de un conjunto de extensiones de HTTP que proporciona el estándar para editar y manejar ficheros y atributos a través de web (lo que ya de por sí lo convierte en un potencial problema de seguridad). El problema consistía (como el que acaba de ser descubierto) en enviar una petición HTTP mal formada, aprovechando el protocolo WebDAV y algunas otras circunstancias, como el mal comportamiento del servidor ante ciertos caracteres. Explotar el problema era muy sencillo, tan solo había que usar la cabecera "Trasnlate: f" (que es lo que indica al servidor que la petición tiene que ser manejada con WebDAV) y añadir un carácter "\" al final de la petición GET del archivo ASP del que se quería ver el código fuente.
Antecedentes (2001)
Cuando se publicó IIS, Microsoft no tuvo en cuenta la potencial escalada de directorios que podría permitir el acceso a los archivos de sistema del servidor web. Durante años, entrar en un servidor IIS era tan sencillo como realizar la siguiente petición a través de cualquier navegador:
servidor.iis.afectado/scripts/../../../winnt/system32/cmd.exe?/c+dir+c:\
El problema fue corregido, aunque durante mucho tiempo la mayoría de los servidores no parchearon (no existía WindowsUpdate) y la fama negra del navegador se iba forjando. Durante 2001, cuando Microsoft introdujo soporte para la codificación Unicode en Internet Information Server, cometió un terrible error. La conversión a Unicode se realizaba después de la comprobación de la existencia de los caracteres "../..". Por tanto el problema volvió a surgir, y de nuevo, era posible entrar en un servidor gracias a peticiones del tipo:
servidor.iis.afectado/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\
Muchos años después, seguiría siendo la forma más sencilla y predilecta de muchos de burlar la seguridad de servidores web de Microsoft.
Antecedentes (2003)
En marzo de 2003 se descubrió un error relacionado con WebDAV que montó un buen revuelo. Un búfer no controlado ponía a los servidores con IIS instalado en un compromiso. Fue uno de los últimos grandes escándalos de IIS. A partir de ahí, las sucesivas versiones del servidor mejoraron sustancialmente la seguridad.
Y en 2009...
Se descubre que de nuevo un atacante puede eludir las restricciones de seguridad y descargar o subir ficheros de directorios WebDAV protegidos con contraseña. Para perpetrar el ataque, solo es necesario realizar una petición PROPFIND a una carpeta, añadiendo caracteres Unicode en su nombre, y por supuesto, con la cabecera "Translate:f".
De vuelta 10 años atrás
En esta vulnerabilidad, se repiten muchos de los elementos de las vulnerabilidades descritas más arriba y que se creían ya "olvidados". El problema se da en IIS 6.0 y anteriores. Las versiones posteriores no se ven afectadas, además de que no traen WebDAV activado por defecto. Por tanto nos encontramos ante un panorama que no recordábamos desde hacía años: una vulnerabilidad directa contra un servidor web (actualmente utilizado, según Netcraft por el 30% de los servidores web) que permite controlar el sistema. Precisamente una mayor concienciación sobre la seguridad, una mejora en la calidad del código, la aplicación de parches de Microsoft (motivada en gran parte por errores como los descritos) y otra serie de factores, hicieron que el objetivo se trasladase bien al cliente (navegadores, lectores de PDF, Flash...), bien a aplicaciones web (principalmente en PHP) pero cada vez menos contra el servidor web en sí.
Por Supuesto :Microsoft no ha querido reconocer oficialmente todavía la vulnerabilidad. Se recomienda por tanto deshabilitar WebDAV hasta que exista solución y comprobar los permisos NTFS de los directorios públicos. Existe exploit disponible.
Suscribirse a:
Enviar comentarios (Atom)
El Cielo
Explosion de Una Supernova
Bienvenidos aquellos que no se conformen en ver en tres dimensiones
Saludos mis amigos(as) ; Colegas y estudiantes
Aqui estara una herramienta para todos donde podremos compartir nuestras ideas opiniones e informacion de una manera honesta y clara para que todos aquellos que acesen este blog puedan utilizarlo para crecimiento y conocimiento.
Las fuentes de informacion de este blog provienen de diferentes areas dentro de la red excepto algunos que son estudios de mi autoria
Aqui estara una herramienta para todos donde podremos compartir nuestras ideas opiniones e informacion de una manera honesta y clara para que todos aquellos que acesen este blog puedan utilizarlo para crecimiento y conocimiento.
Las fuentes de informacion de este blog provienen de diferentes areas dentro de la red excepto algunos que son estudios de mi autoria
No hay comentarios:
Publicar un comentario