Xombra Website

Noticias Vulnerabilidad en el FTP de Microsoft IIS 5 permite ejecución de código

Xombra.com - Seguridad Informatica!
Kingcope (quien también descubrió el reciente fallo Webdav en IIS) ha publicado (sin previo aviso al fabricante) un exploit funcional que permite a un atacante ejecutar código con permisos de SYSTEM en un servidor IIS 5.x (Internet Information Services) siempre que tenga el FTP habilitado y accesible. En la versión 6.x, el exploit sólo permite provocar una denegación de servicio. Imagen Categoria

Microsoft engloba dentro del "paquete" IIS, entre otros, al conocido servidor web IIS y un servidor FTP que no se instala por defecto en ningún caso. La versión 5.x de IIS se encuentra sólo en servidores Windows 2000. Windows 2003 venía con IIS 6.x y Windows 2008 con la rama 7.x. Estrictamente hablando, no se trata de un 0 day, puesto que el fallo no ha sido detectado en ataques reales a sistemas. No se tiene constancia de que esté siendo aprovechado para vulnerar servidores.

El problema es grave, puesto que permite a cualquier usuario con permisos de escritura en el FTP ejecutar código en el sistema con los máximos privilegios. Básicamente, si el atacante puede hacer un MKDIR por FTP (crear un directorio), el servidor completo podría quedar comprometido si se trata de un IIS 5.x y provocar que deje de responder si es un IIS 6.x. El fallo reside en un desbordamiento de memoria intermedia en el comando NLST del servidor FTP.

El exploit publicado por Kingcope (muy sencillo de usar) crea un usuario con privilegios de administrador, pero offensive-security.com lo ha mejorado para que enlace una consola a un puerto y poder así acceder más fácilmente al servidor comprometido. No era trivial puesto que por la naturaleza del fallo, el espacio para inyectar el shellcode (código máquina que contiene las instrucciones que el atacante ejecuta gracias a la vulnerabilidad) no es demasiado extenso (unos 500 bytes).

Se recomienda a los administradores de servidores Windows con IIS y el servidor FTP habilitado, que eliminen los permisos de escritura a todos lo usuarios que tengan acceso a él. El problema se agrava si el servidor permite escribir a usuarios anónimos. Ya existe un script de nmap que permite buscar servidores con estas características. Microsoft ha reconocido la vulnerabilidad pero aún no ha publicado ninguna nota oficial al respecto.

Más Información:

Microsoft IIS FTP 5.0 Remote SYSTEM Exploit
http://www.offensive-security.com/blog/vulndev/microsoft-iis-ftp-5-0-remote-system-exploit/

Microsoft Internet Information Services (IIS) FTP Service Vulnerability
http://www.us-cert.gov/current/index.html#microsoft_internet_information_services_iis1

Fuente:
Sergio de los Santos
http://www.hispasec.com

Enviado por: Manny

Fecha:01-09-2009

Políticas de uso: Ver Politícas
  Descargar Noticias en .DOC   Descargar Noticia en PDF   Imprimir articulo   Translate English
  Guardar Vulnerabilidad%20en%20el%20FTP%20de%20Microsoft%20IIS%205%20permite%20ejecución%20de%20código en Furl   Enviar Noticia a Barrapunto.com   Enviar a un amigo   Meneame   del.icio   Tecnorati!   MySpace   LLevalo a Twitter   Agregar a Google Reader   Agregar Yahoo Feeds   Publicar en Facebbok   Agrega a Netvibes
  http://www.wikio.es   MSN Live   Añadir al Agregador RSS Alesti

Noticias Otras noticias de interés:

Noticia Twitter almacenará nuestros clicks. Violará tu privacidad?

Noticia Asturix la distribución GNU/Linux de Asturias

Noticia eZine Linux+ Septiembre 2010

Noticia Actualización de seguridad para Apple Mac OS X

Noticia Las redes mal configuradas causan los mayores agujeros de seguridad

Noticia La muerte de MS-Windows 2000

Noticia Kademar Linux

Noticia Sirius OS la distro para programadores

Noticia Jolicloud el sistema operativo para internet.

Noticia Zenwalk Live 6.4 final
 

RSS/XML/FEED

Paperblog : Los mejores artículos de los blogs