Aquellos administradores que hayan actualizado su servidor Windows NT a
la más reciente versión del Internet Information Server deberán revisar
algunos ficheros olvidados de las versiones anteriores, ya que pueden
representar un riesgo.
Microsoft Internet Information Server 4 (IIS 4) limita por defecto y
como medida de seguridad, la administración del Web a la dirección
local 127.0.0.1. Sin embargo, ism.dll es un archivo sobreviviente del
IIS 2 y 3 y puede permitir a usuarios o atacantes acceder a una
aplicación ISAPI usada para la administración remota del web desde
direcciones que no sean locales.
El usuario o atacante puede acceder a través de una URL similar a la
siguiente:
http://www.servidor_afectado.es/scripts/iisadmin/ism.dll?http/dir
Tras ello será preguntado por un nombre de usuario y una password, en
caso de realizar una autentificación correcta tendrá acceso a
información sensible del servidor.
Aunque haya que introducir un nombre de usuario y password este sistema
proporciona a un usuario malicioso llegar a conocer la contraseña del
administrador mediante un ataque de fuerza bruta. Además si se tiene
éxito en el intento, se puede conseguir una importante cantidad de
información a través del uso de esta aplicación.
Esta aplicación es redundante, y debe ser eliminada ya que además no
toma parte en ningún aspecto de la administración del servidor Web.
Por otra parte si el IIS 4 es instalado desde NT Option Pack y si se
instalan las extensiones del Servidor Frontpage se podrá encontrar la
utilidad fpcount.exe en el directorio /_vti_bin/ con la posibilidad de
llevar a cabo un desbordamiento de buffer. Se puede conseguir una
versión actualizada en las extensiones del Servidor de FrontPage 98.
