Эксперт из nCircle заявил, что Microsoft принижает серьезность обнаруженной в
IIS уязвимости. Тайлер
Регъюли обвинил Microsoft в том, что та пытается отвлечь внимание пользователей,
в разных местах по-разному описывая имеющуюся уязвимость.
Для тех, кто еще не в курсе, причиной наличия уязвимости является
неправильное декодирование расширением WebDAV запрошенных URL. Используя
специальный эксплоит,
хакеры имеют возможность обойти авторизацию и получить несанкционированный
доступ к файлам сервера.
По словам Регъюли, Microsoft классифицирует баг в двух разных местах
по-разному. Например, на
блоге SRD компания говорит о баге, как об утечке информации, а в
своем руководстве описывает его, как возможность несанкционированного
повышения привилегий. По мнению эксперта, данная дыра должна везде называться
своим именем – то есть, обходом аутентификации. И хотя на блоге SRD признается
возможность обхода системы идентификации, серьезность уязвимости там занижена,
поскольку авторы утверждают, что хакер может зайти лишь на отдельную страницу с
правами анонимного пользователя.
На все эти обвинения в Microsoft пока ответили лишь замечанием о том, что о
случаях реальных атак с использованием обозначенной уязвимости компании ничего
не известно. Зато о них известно US CERT, опубликовавшей информацию о том, что
хакеры активно эксплуатируют найденную дыру.
В защиту Microsoft можно сказать лишь то, что существует немало факторов,
снижающих опасность существующей уязвимости. Например, уязвимой является только
определенная конфигурация IIS, а в Windows Server 2003 IIS (версия 6.0)
технология WebDAV не включена по умолчанию. В ожидании патча пользователи могут
воспользоваться для блокировки опасных HTTP-запросов утилитой URLScan и
запретить доступ для IUSR_[имя машины].
