Esta
semana se han dado a conocer dos vulnerabilidades en Internet Information
Server que permiten provocar una denegación de servicio y revelar información
del sistema.
El primer fallo se trata de un
error por falta de filtrado de los parámetros de entrada que podría permitir
revelar el nombre de archivos y directorios existentes en el servidor. IIS
permite utilizar el carácter "~"
para conocer los nombres cortos de archivos y carpetas. Un atacante podría
llegar a encontrar ficheros no visibles
en servidores web.
Los nombres cortos 8:3 es una
infame herencia de los tiempos DOS, en los que los nombres de fichero no podían
superar los ocho caracteres más tres de extensión. Hoy en día todavía es
posible acceder a un fichero utilizando esta nomenclatura.
En principio, en IIS no es
posible usar el nombre corto y tanto si el fichero se encuentra como si no, se
generará un error. Cuando se solicita un nombre acortado con comodines, el
servidor intentará acceder. El problema es que si lo encuentra, el servidor
responderá con un error "404"
y si no, un "400" (Bad
request). Jugando con estas dos respuestas, se pueden llegar a inferir nombres
de ficheros existentes (tomando una respuesta como "éxito" y otra como "fracaso")
hasta comprobar la existencia de ficheros.
La prueba de concepto publicada permite por fuerza bruta, socavar información sobre ficheros en el
servidor, de forma automatizada. Sin duda, esta prueba de concepto será
incorporada a programas de recopilación de información usados en los test de
intrusión.
El documento publicado propone
además ideas sobre cómo eludir otras protecciones. Para solucionarlo se
aconseja filtrar el uso de comodines "*"
en la URL , y
deshabilitar de la creación de nombres cortos. En 2005 se publicó un fallo que
también usaba el carácter "~" en IIS, y que permitía la
ejecución de código (CVE-2005-4360).
Se habla en el documento también
sobre otra vulnerabilidad de denegación de servicio encontrada en IIS,
descubierta (como el resto de los errores descritos) en 2010, pero que todavía
no ha sido corregida y que, por tanto, no han publicado.
Por otro lado, se ha difundido
otra prueba de concepto que permite una denegación de servicio en IIS a través
de su servidor FTP (que en principio no tendría nada que ver con la
investigación anterior). Enviando una serie de caracteres
especialmente manipulados además de múltiples comandos FTP en paralelo, se
consigue que el servidor consuma toda la
CPU del sistema y deje de responder.
Más información:
Microsoft IIS 6 , 7.5 FTP Server Remote Denial
Of Service
Listado de ficheros en IIS 7
utilizando nombres acortados
Microsoft IIS tilde character “~” Vulnerability/Feature – Short File/Folder Name
Disclosure
Security Research - IIS Short File/Folder Name
Disclosure
Sergio de los
Santos
Twitter: @ssantosv
No hay comentarios:
Publicar un comentario