Włamanie przez lufcik

Błędy bezpieczeństwa wykryte ostatnio w Microsoft Internet Information Server 4.0 pokazują, że systemów informatycznych nie wystarczy już chronić standardowymi metodami.

Błędy bezpieczeństwa wykryte ostatnio w Microsoft Internet Information Server 4.0 pokazują, że systemów informatycznych nie wystarczy już chronić standardowymi metodami.

Powszechna standaryzacja komputerów na platformie Windows oraz rosnąca popularność i dostępność Internetu powodują, że osobom odpowiedzialnym za bezpieczeństwo systemów informatycznych ciągle przybywa obowiązków. Często nie wystarcza już kupno wyrafinowanych sprzętowych i programowych zabezpieczeń. Złożoność aplikacji i systemów operacyjnych rośnie, co powoduje, że coraz łatwiej znaleźć błędy w ich zabezpieczeniach. Po fali ataków groźnych wirusów administratorów nęka problem, który odkryto w systemie Windows NT 4.0 i pracującej pod nim aplikacji Internet Information Server 4.0.

Poważne ostrzeżenie

O istnieniu "dziur" w IIS 4.0, jednym z najpopularniejszych serwerów internetowych, od kilku miesięcy informowała firma eEye, produkująca m.in. skaner sieciowy Retina, wyszukujący luki w systemie bezpieczeństwa Windows NT i pracujących pod nim aplikacji.

Na początku czerwca br. za pomocą Retina odkryto kolejną lukę, do tej pory chyba najbardziej niebezpieczną, umożliwiającą zablokowanie pracy serwera IIS. eEye poinformowała Microsoft o wykrytym błędzie. W Redmond nie udało się rozwiązać problemu w ciągu tygodnia od zgłoszenia, toteż firma zdecydowała się poinformować o nim opinię publiczną. W ciągu dwóch dni od opublikowania informacji na stronie www.eeye.com w Internecie pojawiły się dwa programy umożliwiające nie tylko zawieszenie serwerów IIS, lecz także zdalne przejęcie nad nimi kontroli. Problem jest na tyle istotny, że nie są na niego odporne nawet serwery ukryte za korporacyjnymi firewallami i udostępniające światu wyłącznie port 80, przez który odbywa się komunikacja HTTP.

Przebiegły włamywacz

Za pomocą Retiny wykryto lukę związaną ze sposobem, w jaki serwer IIS traktuje wywołania plików o rozszerzeniach HTR, IDC, STM i ASP. Pliki te są wywoływane za pośrednictwem specjalnych filtrów - odpowiednio przygotowanych bibliotek DLL, które mogą zinterpretować zapisane w nich polecenia - niestandardowe dla "czystego" HTML. Dzięki takim filtrom możliwe jest np. realizowanie przez IIS 4.0 funkcji serwera indeksującego i wyszukującego informacje czy też zarządzanie z poziomu przeglądarki WWW i udostępnianej w niej aplikacji całym systemem operacyjnym.

Jednym z podkatalogów standardowo instalowanych na serwerach IIS jest IISADMIN, po połączeniu z którym można zdalnie administrować serwerem. Administrator może także zainstalować katalog IISADMPWD, który pozwala użytkownikom zmieniać ich hasło w domenie Windows NT za pomocą przeglądarki WWW. Funkcjonalność realizowana przez aplikacje zawarte w tych katalogach jest osiągana poprzez wykonanie wielu plików o rozszerzeniach HTR, które są filtrowane przez bibliotekę ISM.DLL, standardowo instalowaną na każdym serwerze IIS 4.0.

eEye znalazł taką kombinację parametrów, z jakimi wywołanie plików HTR powoduje zawieszenie działania biblioteki ISM.DLL, a w konsekwencji całego serwera. Włamywacz może przeciążyć serwer internetowy Microsoftu, nakazując mu ściągnięcie z dowolnego miejsca w Internecie konia trojańskiego, który zostanie uruchomiony lokalnie, na atakowanym komputerze. Jeśli dodatkowo nakaże mu się uruchomienie na porcie 80, to w efekcie zastąpi on zawieszony serwer WWW i wtedy wykorzystując funkcję telnet na port 80 (a taki ruch jest nadal przepuszczany przez działający poprawnie router i firewall) pozwoli zastosować uruchomioną na nim aplikację, którą może być np. standardowa linia poleceń systemu Windows NT. Umożliwia to nieograniczoną penetrację systemu. Pozwala również w łatwy sposób usunąć ślady włamywacza, łącznie z wymuszeniem skasowania programu, który posłużył do włamania (np. w minutę po wylogowaniu się) oraz zrestartowania serwera IIS.

Bądźcie czujni

Microsoft udostępnił już na swojej stronie WWW poprawkę do błędu odkrytego przez eEye. Powinni ją zainstalować wszyscy administratorzy, pod których pieczą znajdują się serwery Windows NT 4.0 wyposażone w oprogramowanie IIS 4.0, bez względu na to, który zestaw poprawek jest na nich zainstalowany.

eEye sygnalizuje, że ataki przeprowadzane na IIS nową metodą są praktycznie niewykrywalne. Błąd koncepcyjny, jaki popełnili programiści tworzący , powoduje, że nie loguje ono przysyłanych zapytań przed ich przekazaniem do filtrów ISAPI. To z kolei sprawia, że odpowiednio spreparowane zapytanie o plik HTR przerwie pracę serwera IIS bez wzmianki o tym w logu systemowym i odnotowania tam, jaką składnię miało to feralne zapytanie. Według eEye, proces logujący próby dostępu do serwowanych stron WWW powinien działać niezależnie od IIS, tak aby monitorował działania włamywaczy nawet wtedy, gdy ci doprowadzą już do zawieszenia serwera WWW.

Adresy dla administratorów Internet Information Server

http://www.microsoft.com/security - strona poświęcona bezpieczeństwu produktów Microsoftu

http://www.microsoft.com/security/products/iis/CheckList.asp - generalne zalecenia dotyczące bezpiecznej konfiguracji serwerów IIS

http://www.eeye.com - serwer eEye regularnie dostarczający informacje o lukach w aplikacjach pracujących na platformie Windows NT

http://www.eeye.com/database/advisories/ad06081999/ad06081999-exploit.html - dokładny opis procedury przeprowadzenia włamania wraz z kodem źródłowym zastosowanej aplikacji

ftp://ftp.microsoft.com/bussys/IIS/iis-public/fixes/usa/ext-fix - poprawka do opisywanego błędu IIS


TOP 200