Se han descubierto dos vulnerabilidades leves que afectan
a los servidores Windows NT, con Internet Information
Server 4.0 con las extensiones de Frontpage instaladas.
El impacto de las vulnerabilidades deberá ser leve si se
han seguido las prácticas de seguridad habituales, pero
pueden permitir a un posible atacante la obtención de
información sobre el sistema. La primera de las
vulnerabilidades hace referencia a la posibilidad de
descubrir el nombre de la cuenta empleada para permitir
el acceso anónimo a los servicios web. Un usuario
malicioso podrá emplear esta cuenta para intentar un
ataque por fuerza bruta, si bien los sitios más
vulnerables serán aquellos que hayan modificado la
password por defecto asignada a la cuenta
IUSR_nombreordenador, o aquellos que hayan definido su
propia cuenta y no hayan establecido una password
robusta.
La segunda de las vulnerabilidades permite obtener la
dirección física real en el disco duro de los directorios
web virtuales. Esto también es un problema leve, pero
puede dar una información adicional a un atacante que
intente acceder al sistema.
Para conseguir la cuenta de navegación anónima, es
necesario efectuar una petición RPC POST deliberada a
shtml.dll localizada en el directorio virtual /_vti_bin/.
Aunque la petición falle debido a los permisos de acceso,
el servidor responderá y avisará de que la cuenta
IUSR_nombreordenador no puede ejecutar dicho servicio,
con lo cual se obtiene la cuenta deseada.
Para obtener lel directorio donde se alojan las páginas
web basta con realizar una petición GET a htimage.exe
que se encuentra en el directorio scripts o en el
cgi-bin. De esta forma al introducir
http://servidor/cgi-bin/htimage?2,2 el servidor revelará
la ruta física donde se alberga, por ejemplo
c:\InetPub\WWWRoot.
Microsoft fue alertada de estos problemas y los
corregirá en la próxima versión de las extensiones de
Frontpage. En caso de que no se empleen estas
funcionalidades de Frontpage se pueden eliminar los
archivos shtml.dll y htimage.exe.
Más información:
Bugtraq
antonior@hispasec.com
Deja una respuesta