Microsoft
Internet Information Services (IIS) 6.0 se ve afectado por una vulnerabilidad
de desbordamiento de búfer que está
siendo explotada de forma activa y que
no será corregida por estar fuera de soporte. Una vez más la importancia de
mantener el software actualizado.
 |
| Si aun lo tienes... mejor que lo actualices |
El 15 de junio de 2015, hace ya
más de año y medio, Microsoft finalizó el soporte para el sistema operativo
Windows Server 2003, que incluía el servidor web Information Services (IIS) 6.0.
Como ya sabemos el fin de soporte significa que aunque el software sigue
funcionando ya no recibe actualizaciones, por lo que en caso de aparecer una
vulnerabilidad grave, como es el caso, los usuarios se quedan desprotegidos.
El fallo concretamente reside en
la función ScStoragePathFromUrl del servicio WebDAV (Web Distributed Authoring
and Versioning). Con CVE-2017-7269 consiste en una validación incorrecta de una
cabecera 'IF' de gran tamaño (que
provoca el desbordamiento de búfer) en una petición PROPFIND y podría permitir
a un atacante remoto la ejecución de código arbitrario.
Según los investigadores que han
encontrado el fallo la vulnerabilidad puede estar explotándose de forma activa
desde julio o agosto del año pasado. Todo indica que en la actualidad otros
atacantes están creando código malicioso basado en la prueba de concepto
original.
 |
| ¡Noooo! ¡Quítalo! |
Los fallos en WebDAV no son
nuevos, desde el principio
fue una tecnología que causo múltiples
problemas y riesgos. Web Distributed Authoring and Versioning (WebDAV) es
una extensión del protocolo http que permite la colaboración remota y la
administración de contenidos web. WebDAV permite editar y manejar ficheros y
atributos a través de web (lo que ya de por sí lo convierte en un potencial
problema de seguridad). WebDAV extiende el conjunto de cabeceras y métodos del estándar
http para incluir métodos como COPY, LOCK, MKCOL, PROPFIND, UNLOCK, etc.
Aunque en la actualidad no son
muchos los sitios con IIS 6.0, "haberlos
haylos". Según W3Tech
representan el 1,3% de todos los servidores web. Aunque otras fuentes, como BuitWith eleva ese
porcentaje al 2,3%, que se cifra en más de 8 millones de sitios web.
Como contramedida, la única solución
posible pasa por desactivar WebDAV
en los servidores IIS 6.0. Este problema no
afecta a las versiones actuales de IIS. En cualquier caso, la recomendación
pasa por actualizar a un sistema más moderno y soportado por el fabricante, que
siempre podrá proporcionar actualizaciones para solventar las vulnerabilidades.
Más información:
IIS 6.0 Vulnerability Leads to Code Execution
Usage statistics and market share of
Microsoft-IIS version 6 for websites
Websites using IIS 6
una-al-dia (14/03/2001) Parche
para el problema de IIS 5.0 con WebDAV
una-al-dia (17/05/2009) Grave
vulnerabilidad en IIS. De vuelta a fallos de principios de década
Millions of Websites Affected by IIS 6.0
Zero-Day
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario