Hace tres semanas informábamos de un nuevo descubrimiento de Georgi
Guninski, en el cual se hacía eco de una extensión de un problema
anteriormente solucionado por Microsoft, y que permitía la
visualización de archivos con scripts. Tres semanas después Microsoft
publica la solución para este problema que ha dejado miles de sitios
web desprotegidos ante todo tipo de ataques.
El problema relatado por Guninski permitía la visualización de páginas
con código en perl, cgis, o el archivo global.asa que generalmente
contiene el nombre de usuario y password para acceder a la base de
datos de la aplicación. Por ello, el problema podía considerarse de
bastante gravedad.
Además, la sencillez con que se podía llevar a cabo el ataque elevaba
aun más el riesgo. Una simple URL de la forma
http://www.servidor.afectado.com/global.asa%3F+.htr permitía al
atacante acceder a los datos del archivo indicado.
Este fallo de seguridad, relacionado con el tratamiento de archivos
.htr está causando graves problemas a los administradores de webs con
IIS, un hecho que constata esta realidad es que con el actual,
Microsoft se ha visto obligada a publicar tres boletines de seguridad
(y los correspondientes parches). Recomendamos a todos los
administradores la instalación de esta actualización de forma
inmediata, ya que como hemos explicado los problemas ocasionados por
este fallo son de elevada gravedad.
Microsoft publica las actualizaciones necesarias para solucionar y
evitar este problema que pueden encontrarse en las siguientes
direcciones:
Actualización para IIS 4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=27492
Actualización para IIS 5.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=27491
antonior@hispasec.com
Más información:
Visualización de archivos en Internet Information Server
http://www.hispasec.com/unaaldia.asp?id=805
Boletín de seguridad Microsoft (MS01-004)
http://www.microsoft.com/technet/security/bulletin/ms01-004.asp
Preguntas y respuestas de Microsoft en relación al problema
http://www.microsoft.com/technet/security/bulletin/fq01-004.asp
Georgi Guninski (Aviso Original)
http://www.guninski.com/iishtr.html
Deja una respuesta