La vulnerabilidad afecta a los servidores Internet Information Server
en sus versiones 4 y 5 para Windows NT y 2000. El problema, que
deriva del uso de las cookies para identificar las sesiones, permite
a un atacante hacerse pasar por otro usuario ante un servidor seguro.
Internet Information Server utiliza cookies para identificar las
sesiones web de los usuarios. El problema se presenta porque las
páginas .ASP no soportan la creación de cookies de identificación
para sesiones seguras, tal y como se define en el RFC 2109.
Cuando un usuario visualiza páginas seguras y no seguras en un
servidor IIS está compartiendo la misma cookie de identificación en
ambas ocasiones. El resultado es que en las sesiones seguras la
cookie va cifrada bajo SSL, mientras que en la sesión no segura
viajará en texto claro, al alcance de cualquiera que pueda “escuchar”
el tráfico entre cliente y servidor. El atacante puede utilizar
entonces la cookie de identificación para hacerse pasar por la
víctima ante el servidor seguro y realizar cualquier operación.
Microsoft facilita un parche para corregir la vulnerabilidad cuya
instalación es obligatoria para todos aquellos servidores basados
en Internet Information Server que ofrezcan sesiones seguras con
páginas .ASP (servicios de banca, comercios electrónicos, etc.).
Parche para IIS 4.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=25233
Parche para IIS 5.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=25232
bernardo@hispasec.com
Más información:
Patch Available for “Session ID Cookie Marking” Vulnerability
http://www.microsoft.com/technet/security/bulletin/MS00-080.asp
FAQ Microsoft Security Bulletin (MS00-080)
http://www.microsoft.com/technet/security/bulletin/fq00-080.asp
Remote Retrieval Of IIS Session Cookies From Web Browsers
http://www.securityfocus.com/archive/1/141051
Deja un comentario