Microsoft publica actualizaciones acumulativas para Internet
Information Server en sus versiones 4.0, 5.0 y 5.1, que entre otras
funciones soporta los servidores webs de Microsoft para plataformas
Windows NT 4.0, Windows 2000 y Windows XP. Además de incluir los
parches anteriores, la actualización viene a corregir nuevos problemas
de seguridad.
En el caso de IIS 4.0 el parche cubre toda las actualizaciones de
seguridad aparecidas posteriormente al Service Pack 6a para Windows NT
4.0, mientras que cubre todos los parches de seguridad aparecidos
hasta la fecha para IIS 5.0 y 5.1.
Las nuevas vulnerabilidades corregidas con esta actualización son:
– Vulnerabilidad de elevación de privilegios (IIS 4.0, 5.0 y 5.1):
Implicaciones: La explotación de esta vulnerabilidad permitiría a un
atacante, que tuviera la opción de cargar y ejecutar aplicaciones en
el servidor web, conseguir privilegios de sistema y el control total de
la máquina.
Por defecto IIS 5.0 y 5.1 ejecutan las aplicaciones web en procesos
separados y aislados al propio proceso IIS, para ganar en estabilidad
y seguridad. En estos casos las aplicaciones ISAPI se ejecutan bajo
el contexto de seguridad de la cuenta IWAM_nombremáquina con
privilegios restringidos sobre el sistema para evitar que pueda llevar
a cabo acciones potencialmente peligrosas. Un fallo en la
implementación de Microsoft permite a las aplicaciones conseguir
privilegios de Sistema Local con los que pueden obtener el control
total sobre la máquina.
En el caso de IIS 4.0 esta vulnerabilidad es prácticamente una
funcionalidad por defecto, ya que las aplicaciones web comparten
recursos y se ejecutan en el mismo espacio de memoria que el proceso
IIS. La única ventaja de este esquema es el ahorro de recursos y una
mejora en el rendimiento, por contra si falla una aplicación afectará
a la estabilidad del servidor web y, además, puede aprovechar la
posición privilegiada dentro del proceso IIS para llevar a cabo
acciones bajo el contexto de Sistema Local con derechos ilimitados
sobre el sistema.
Aunque en IIS 4.0 es posible impersonalizar el cliente antes de
lanzar aplicaciones CGI y extensiones ISAPI, existen varias
estrategias para ejecutar código en el contexto de la cuenta de
Sistema Local. Por ejemplo, se puede invocar ReverToSelt en la
función HttpExtensionProc en una extensión ISAPI para finalizar la
sesión de impersonalización y situarse en el contexto de seguridad
de la cuenta Sistema Local, consiguiendo de nuevo acceso total a
la máquina.
Además del ataque premeditado a través de aplicaciones webs, no
debemos olvidar los problemas de estabilidad que puede ocasionar la
ejecución de aplicaciones en el mismo proceso que IIS, como son las
filtraciones de memoria, la corrupción de pila, o las violaciones de
acceso, que suelen terminar destruyendo el proceso IIS. Por todo
lo anterior se recomienda que las aplicaciones web corran fuera del
proceso IIS, lo que también es posible de configurar en IIS 4.0. Es
en este punto donde también sufriría la vulnerabilidad de elevación
de privilegios que nos ocupa, y por lo que también se incluye un
parche para corregirla en IIS 4.0.
– Denegación de servicios, DoS (IIS 5.0 y 5.1):
Implicaciones: La explotación de esta vulnerabilidad permitiría a un
atacante que el servidor web dejara de prestar servicios.
La Autoría distribuida y control de versiones (Web-based Distributed
Authoring and Versioning, WebDAV) es un conjunto de extensiones al
protocolo HTTP/1.1, aprovechando el Lenguaje de marcación ampliable
(XML), que especifican métodos, cabeceras y tipos que permiten a los
usuarios modificar y gestionar archivos remotos en colaboración. Por
ejemplo trabajar en documentos compartidos a través del web como si
los datos estuvieran en un disco duro local. Su definición formal
puede encontrarse en el RFC 2518 (http://www.ietf.org/rfc/rfc2518.txt)
La vulnerabilidad de Denegación de Servicios (DoS) se produce por un
fallo en la forma en que IIS 5.0 y 5.1 asigna memoria para las
peticiones WebDAV. Si se realizan ciertas peticiones WebDAV
malformadas se produce un consumo de memoria muy elevado, cuya
reiteración puede acabar provocando la caida del servidor.
Explotar esta vulnerabilidad provoca la perdida de todas las sesiones
web que hubiera en curso, siendo necesario reiniciar el sistema para
que el servidor vuelva a estar operativo. En esta ocasión IIS 4.0
no es vulnerable ya que no soporta WebDAV.
– Uploads de ficheros .COM (IIS 5.0)
Implicaciones: Permitiría a un atacante subir un ejecutable .COM
en el servidor web sin necesidad de permisos adicionales.
IIS mantiene una doble capa de protección para prevenir los uploads
al servidor web. La primera es la configuración de escritura del
directorio, ya que si el administrador del servidor no ha dado
permisos de escritura al usuario, será imposible para éste subir
cualquier tipo de fichero al servidor.
Existe además una segunda capa de protección consistente en un filtro
que previene la subida de algunos tipos de fichero potencialmente
peligrosos, como pueden ser los scripts y ejecutables. Este tipo de
ficheros requieren de un permiso adicional (script source access),
además del permiso de escritura, para que el usuario pueda subir
formatos ejecutables.
La vulnerabilidad es provocada por un simple error tipográfico en
la lista de tipos de ficheros que están sujetos a este filtro, de
forma que no contempla los ejecutables .COM. Esta vulnerabilidad
sólo afecta a la lista distribuida con IIS 5.0. (IIS 4.0 y 5.1
están libres del error).
Para que un atacante pueda aprovechar con resultados la
vulnerabilidad debe tener acceso de escritura en un directorio
para subir el ejecutable .COM y, además, permisos de ejecución
para poder lanzarlo.
-Cross-Site Scripting, CSS (IIS 4.0, 5.0 y 5.1)
Implicaciones: Permite a un atacante inyectar código en las páginas
que sirve un servidor web a un usuario.
Cross-Site Scripting es una vulnerabilidad bien conocida que afecta
a numerosas aplicaciones web. En el caso de IIS se encuentra en
numerosas páginas web que se distribuyen en el servidor web para
tareas de administración y documentación. Como suele ocurrir en
estos casos la inyección de código es posible debido a que no se
filtran de forma adecuada las entradas.
Los parches, según versiones, pueden ser descargados en:
IIS 4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=43566
IIS 5.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=43296
IIS 5.1:
32-bit: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=43578
64-bit: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=43602
bernardo@hispasec.com
Más información:
Microsoft Security Bulletin MS02-062
http://www.microsoft.com/technet/security/bulletin/MS02-062.asp
Deja una respuesta