Solución temporal de la vulnerabilidad de IIS en el sistema Microsoft XP /Vista

Hoy vi un nuevo código de explotación de 0 días — Microsoft IIS 5.0 /6.0 FTP Server Remote Stack Overflow Exploit exploit en Milw0rm. Este código fue publicado por kcope ayer. Según él, este código solo es válido para el sistema operativo Microsoft Windows 2000 hace 10 años. Este sistema operativo utiliza la versión anterior del software del servidor IIS 5.0. Pero los expertos en seguridad dicen que el éxito de este tipo de ataque requiere que los hackers creen un directorio en este servidor. Pero se confirma que otras versiones del software IIS también están en riesgo, y el nuevo sistema operativo de Microsoft tiene la capacidad de mitigar este riesgo.

Microsoft dijo el lunes que ha investigado informes de versiones defectuosas de productos de Internet Information Services (IIS) que están circulando externamente, lo que supuestamente permite al atacante tomar el control de todo el sistema.

En una declaración, un representante de Microsoft dijo que la compañía está investigando la vulnerabilidad del protocolo FTP que puede aparecer en IIS 5 e IIS 6, y está tomando medidas para proteger a sus clientes, pero primero necesita Confirme que esta pregunta es verdadera.

Según el servicio de noticias IDG, esta vulnerabilidad solo afecta a la versión anterior de IIS, y solo se verá amenazada si se abre en condiciones de FTP. Hasta ahora, el servicio FTP de Microsoft no tenía lagunas.

Una vez que se complete la investigación, la vulnerabilidad es cierta y Microsoft podrá lanzar rápidamente el parche el martes de parche (martes día de parche) la próxima semana.

Descripción de vulnerabilidad

El servidor FTP de Microsoft IIS tiene una vulnerabilidad de desbordamiento de búfer cuando se resuelven los nombres de directorio. Los atacantes remotos envían solicitudes al enviar un comando FTP NLST (NAME LIST) que contiene un directorio con un nombre especial. Para desencadenar un desbordamiento de búfer basado en la pila, un atacante puede ejecutar instrucciones arbitrarias con privilegios de aplicación, y un atacante puede usar el código de ataque para instalar software sin licencia en el servidor.

Esta vulnerabilidad existe en el software del Protocolo de transferencia de archivos (FTP) utilizado por IIS para transferir archivos grandes a través de Internet. Por lo tanto, un atacante debe habilitar el protocolo FTP para ser atacado.

Ya existen vulnerabilidades que aprovechan esta vulnerabilidad. Debido a que un atacante necesita FTP para configurar permisos de escritura de cuentas anónimas o tener otra información de cuenta legítima para crear un directorio con un nombre especial, puede desactivar temporalmente el acceso de escritura de FTP anónimo. Para mitigar el impacto de la vulnerabilidad en los usuarios.

Software afectado

Microsoft IIS 6.0 Microsoft IIS 5.0

Código de ataque

Microsoft IIS 5.0 /6.0 Servidor de FTP Remote Stack Overflow Exploit (win2k) < Br>

Microsoft IIS 5.0 FTP Server Remote Stack Overflow Exploit (win2k sp4)

Solución temporal

1. Deshabilite el permiso de escritura del servidor FTP, prohíba que el directorio cree archivos y directorios. . 2. Debido a que la vulnerabilidad requiere un usuario anónimo u obtener una cuenta de FTP, se recomienda que todos los servidores de FTP anónimos abran temporalmente la política de verificación de la cuenta. 3. En un entorno más riguroso, se recomienda configurar una IP autorizada para conectarse al servidor FTP.