lunes, 1 de marzo de 1999

Ataque a cuentas de usuario a través de IIS 4.0

Una de las características de administración de Internet Information
Server 4.0 permite la administración de cuentas de usuario a través de
las páginas web, pero esta característica es accesible por cualquier
usuario anónimo a través de Internet.
Internet Information Server 4.0 tiene una interesante característica
que puede permitir a un atacante remoto comprometer las cuentas de
usuario locales en el servidor web. Si el servidor web se encuentra
tras un firewall efectuando una traslación de direcciones de red las
máquinas protegidas también pueden ser atacadas.

El problema viene dado porque durante la instalación del servidor se
elige la opción de «Administración Web», para lo que se crea el
directorio virtual «/IISADMPWD». Este directorio contiene varios
ficheros htr, a los cuales puede acceder cualquier usuario anónimo sin
restricción a la dirección local 127.0.0.1. El directorio /IISADMPWD se
encuentra físicamente en la ruta c:\winnt\system32\inetsrv\iisadmpwd.

Los ficheros que se albergan en el directorio /iisadmpwd permiten a un
usuario cambiar su password a través de una página web, pero también
puede ser usuario por un atacante para comprometer las passwords o
para averiguar nombres de usuario válidos. Si la cuenta de usuario no
existe se devuelve un mensaje de "invalid domain" (dominio no válido),
pero si el nombre existe y la password es errónea un mensaje lo
indicará.

Si una dirección IP seguida de una barra inversa (\) antecede el nombre
de una cuenta de usuario el servidor IIS contactará con la máquina
remota a través de una sesión NetBIOS e intentará cambiar la password
del usuario (IPADDRESS\ACNAME).

Por ejemplo, el archivo aexp3.htr proporciona un formulario html en el
que solicita el nombre de usuario, la password antigua, la nueva y la
confirmación de esta. Si la información introducida es correcta se
cambiará la password del usuario. Para evitar el problema la mejor
solución pasa por borrar el directorio virtual /IISADMPWD, aunque si
se requiere este servicio se puede limitar el tráfico a través del
puerto NetBIOS a las direcciones deseadas.

Más información:
Bugtraq: http://www.geek-girl.com/bugtraq/1999_1/0897.html


Antonio Ropero



No hay comentarios:

Publicar un comentario en la entrada