Błąd w serwerze internetowym IIS 5.0

Serwer internetowy IIS 5.0 zawarty w systemie Windows 2000 ma krytyczny błąd, który umożliwia włamywaczom uzyskanie pełnej kontroli nad serwerem. Microsoft poinformował, że błąd znajduje się w module ISAPI współpracującym z IIS 5.0 i odpowiedzialnym za obsłu- gę protokołu Internet Printing Protocol (IPP), umożliwiającym zlecanie zadań do wydruku za pośrednictwem protokołu HTTP.

Błąd wykryła firma eEye Digital Security. Jej pracownicy stwierdzili, że rozszerzenie ISAPI, udostępniające funkcję Internet Printing, jest podatne na atak typu buffer overflow. Co więcej, po jego wykonaniu włamywacz może uzyskać pełną kontrolę nad serwerem (przeglądać pliki i wykonywać dowolne polece-nia na serwerze). Microsoft stanowczo zaleca wszystkim użytkownikom Windows 2000 Professional, Server, Advanced Server i Datacenter Server zainstalowanie poprawki udostępnionej pod adresemhttp://www.microsoft.com/Downloads/Release.asp?ReleaseID=29321.

Rozszerzenie Internet Printing ISAPI jest domyślnie instalowane na stacjach roboczych i serwerach IIS 5.0. Tym użytkownikom, którzy z jakichkolwiek powodów nie mogą zainstalować poprawki, Microsoft doradza wyeliminowanie możliwości uruchamiania tego filtru ISAPI (usunięcie mapowania we właściwościach serwisu internetowego). Firma ostrzega jednak, że np. ustawienia polis grupowych, w których dozwolono wykorzystanie funkcji Web Printing, mogą omijać ustawienia konfiguracyjne serwera IIS 5.0.

Aby udowodnić istnienie błędu i umożliwić administratorom zweryfikowanie zabezpieczeń zarządzanych przez nich serwerów, firma eEye udostępniła pod adresemhttp://www.eeye.com/html/research/Advisories/iishack2000.c przykładowy kod, korzystający z dziury w filtrze ISAPI, tworzący na dysku lokalnym C:\ serwera plik, zawierający instrukcję, w jaki sposób można zabezpieczyć ten serwer.

Podstawowy problem związany z błędem polega na tym, że informacja o naruszeniu bezpieczeństwa za pośrednictwem komponentu ISAPI nie jest nigdzie odnotowywana. Włamaniu nie mogą również przeciwdziałać jakiekolwiek firewalle, włamywacz bowiem uzyskuje dostęp do serwera przez port HTTP lub HTTPS, które są "otwarte" na wszystkich serwerach WWW, udostępniających swoją zawartość w Internecie.


TOP 200