Durante el día de hoy se han sucedido las noticias en torno al agujero
de Windows NT del que os informábamos ayer. Sitios web atacados,
noticias en diversos medios, parche de eEye y hasta una comunicación
de Microsoft han protagonizado el día de hoy.
Ya por la mañana diversos servidores web en nuestro país aparecían
atacados a causa del problema de sobrecarga de buffer en Internet
Information Server. Sin duda se trata de un asunto de gran gravedad,
tal y como informamos ayer, las características del agujero hacen que
un gran número de máquinas sean fácilmente atacables. Por su parte,
el CERT (Computer Emergancy Responce Team) también ha publicado un
aviso concerniente a este bug.
Hasta el momento la única solución viable para evitar el problema
pasaba por el cambio en la configuración recomendado por Microsoft,
si bien este método deshabilita algunas características como el
directorio /iisadmpwd/ de cambio de contraseñas de usuario. La opción
de cambio de passwords por web, puede ser utilizada por usuarios
remotos que acceden al servidor para actualizar el web, pero deben
cambiar su password periódicamente por las políticas de administración.
Estos usuarios se pueden encontrar sin posibilidad de acceso debido
a que su contraseña caduque y no tengan posibilidad de renovarla.
eEye, el equipo que descubrió el agujero, ha llegado más lejos y
publica un parche (con fuentes) que resuelve el problema y conserva
todas las funcionalidades. El parche de eEye se basa en limitar las
peticiones de archivos htr a 255 caracteres, y guarda en un log la IP
del atacante que intenta la sobrecarga. eEye admite que el parche no
es perfecto, ya que existen más sobrecargas en la librería ism.dll
aparte de la asociada a extensiones htr. Pero representa un gran
avance respecto a la recomendación de Microsoft que simplemente se
basa en eliminar el filtro ISAPI.
Pero la publicación del problema ha causado una gran polémica en el
mundo de la seguridad informática. Microsoft conocía el problema
desde el pasado día 8 sin haber tomado ninguna medida, ni hacerlo
público (junto con la solución eventual). Pasada una semana, el
equipo de eEye se decidió a divulgar el agujero en vista de que la
compañía no tomaba ninguna resolución en el tema. Pero ahora Microsoft
critica a eEye por hacer público el aviso e incluir el programa para
explotar la vulnerabilidad. La compañía de Redmond afirma que esta
forma de proceder es «contraria a todas las reglas habituales de los
profesionales responsables de la seguridad». Microsoft también comunica
que se encuentra trabajando en el parche que solucione de forma
correcta el problema.
Más información:
HispaSec: http://www.hispasec.com/unaaldia.asp?id=232
Parche de eEye: http://www.eeye.com/database/advisories/ad06081999/ad06081999-ogle.html
Aviso de eEye: http://www.eEye.com/database/advisories/ad06081999/ad06081999.html
Boletín de Microsoft: http://www.microsoft.com/security/bulletins/ms99-019.asp
Aviso del CERT: http://www.cert.org/advisories/CA-99-07-IIS-Buffer-Overflow.html
CNet: http://www.news.com/News/Item/0,4,37949,00.html?st.ne.fd.mdh.ni
