Microsoft poprawia kolejne krytyczne błędy serwera IIS.

Microsoft ostrzega, że użytkownicy Windows NT 4.0, Windows 2000 oraz XP są narażeni na ataki dokonywane z wykorzystaniem wbudowanego w te systemy i wadliwie działającego serwera internetowego IIS - odpowiednio w wersjach 4.0, 5.0 i 5.1. Poziom zagrożenia atakiem został określony przez Microsoft jako krytyczny. Dziesięć nowych luk w bezpieczeństwie IIS umożliwia uruchomienie na zaatakowanej stacji roboczej lub serwerze dowolnego kodu, dzięki czemu włamywacz ma pełną kontrolę nad komputerem użytkownika. Producent Windows udostępnił już zbiorczą poprawkę korygującą zarówno nowe błędy, jak i poprawiającą wszystkie dotychczas wykryte lu-ki oprogramowania IIS. Wraz z instalacją zestawu poprawek Micro- soft zaleca również pobranie i zainstalowanie bezpłatnego narzędzia Microsoft Baseline Se- curity Analyzer, wery- fikującego poprawność konfiguracji komputera i aktualność zainstalowanych łat.

Błąd na błędzie

Trzy spośród 10 udostępnionych poprawek mają status "krytycznych" dla wszystkich wersji IIS. Jedna dodatkowa poprawka określana jest jako krytyczna dla IIS 4.0 i 5.0. Pozostałe mają status średniego bądź niskiego zagrożenia.

Nowe błędy wykryto w wielu modułach ser- wera IIS. Najważniejsze dotyczą sposobu, w jaki moduł Active Server Pages (ASP.DLL) obsługuje zapytania użytkowników. Mimo kilkakrotnego udostępniania do niego poprawek, ponownie okazało się, że odpowiednio spreparowane zapytanie HTTP umożliwia przesłanie do serwera dowolnego kodu i jego lokalne uruchomienie, co daje włamywaczowi pełną kontrolę nad atakowanym komputerem. Kolejne błędy dotyczą działania filtrów ISAPI (szczególnie rozszerzenia HTR ISAPI wykorzystywanego przez serwer indeksujący), wbudowanego w IIS serwera FTP oraz mechanizmu CSS (Cross- Site Scripting), stosowanego do przekazywania poleceń i skryptów między kilkoma serwerami WWW a użytkownikiem przeglądarki.

Zainstalowanie poprawki może spowodować dodatkowy problem. Jak zapewniają specjaliści z firmy SecurityFocus, powoduje ona zablokowanie niektórych funkcji pakietu SiteServer, stosowanego m.in. do identyfikacji użytkowników i zautomatyzowanego tworzenia personalizowanych serwisów WWW. Microsoft na razie nie potwierdził istnie- nia tego problemu.

Zmiana nastawienia

Z kolei eEye Digital Security, jedna z firm wymienianych przez Microsoft jako źródło informacji o krytycznych błędach IIS, zauważa, że dwa spośród nowych błędów zostały wykryte przez pracowników Microsoftu. Jest to pierwszy praktyczny efekt działań podjętych przez Billa Gatesa, mających na celu skoncentrowanie uwagi pracowników firmy na bezpieczeńs- twie opracowywanych przez nich produktów. Kolejnym jest sposób rozprzestrzeniania informacji o udostępnieniu poprawki. Oprócz rozesłania jej do 300 tys. subskrybentów listy mailingowej, dotyczącej bezpieczeństwa, firma zapewnia, że wyznaczeni jej pracownicy osobiście kontaktują się z najważniejszymi klientami oraz wszystkimi osobami, które w ostatnich miesiącach korzystały ze wsparcia technicznego, zadając pytania dotyczące serwera IIS.

Kilka dni przed udostępnieniem poprawki Microsoft wprowadził również bezpłatny pakiet Microsoft Baseline Security Analyzer (http://www.microsoft.com/technet/security/tools/tools/mbsahome.asp), przeznaczony dla użytkowników Windows 2000 i XP. Umożliwia on analizę podstawowych parametrów konfiguracyjnych, związanych z bezpieczeństwem systemów operacyjnych (czy konta użytkowników są zabezpieczone hasłami, czy są to proste hasła, ile kont administracyjnych jest na danym komputerze, czy katalogi i systemy plików są współdzielone) oraz weryfikuje, czy zostały zainstalowane najnowsze wersje poprawek do systemów i aplikacji IIS, SQL Server 2000 i 7.0, Internet Explorer (od wersji 5.01) oraz Office 2000 i XP.

Administratorzy z wykorzystaniem MBSA mogą sprawdzić bezpieczeństwo wszystkich stacji roboczych i serwerów, pracujących w sieci.