Корпорация Microsoft во вторник подтвердила тот факт, что она
изучает критическую
уязвимость в более старых версиях сервера Internet Information Services (IIS),
код эксплоита для
которой днем ранее был выложен одним из хакеров на milw0rm.com.
Представитель компании заявил следующее: "В Microsoft изучают новые публичные
заявления о возможном наличии уязвимости в IIS 5.0 и IIS 6.0 File Transfer
Protocol (FTP). В случае если присутствие данной уязвимости будет подтверждено,
мы предпримем все необходимые шаги для того, чтобы определить, как наши клиенты
могут защитить себя наилучшим образом". В корпорации также подчеркивают, что о
случаях реальных атак Microsoft ничего неизвестно и не исключают выпуска
специального патча. Впрочем, в отличие от предыдущих инцидентов, на этот раз
Microsoft не предоставила администраторам ни руководства по принятию
профилактических мер, ни соответствующих утилит для этого.
Отметим, что публикация кода эксплоита вызывала обеспокоенность у ряда
организаций, занимающихся вопросами компьютерной безопасности, в том числе – у
US CERT, которая порекомендовала администраторам отключить возможность записи
файлов в IIS через FTP.
Согласно руководству US-CERT, FTP-сервер в IIS не в состоянии правильно
анализировать специальным образом составленные имена каталогов, поэтому хакеры
имеют возможность применить к этому каталогу команду NLST (NAME LIST) и вызвать
тем самым переполнение буфера в стеке, что в свою очередь может позволить
выполнить на уязвимой системе произвольный код.
Пока не ясно, какие версии IIS подвержены уязвимости. По данным Secunia, баг
может привести к вылету IIS 5.1 на Windows XP и IIS 6.0 на Windows Server 2003,
а в IIS 5.0 на Windows 2000 эта дыра позволяет хакерам вставить свой код.
Согласен с датской фирмой и сам автор эксплоита.
По данным Netcraft, сервер Microsoft IIS является вторым по популярности
веб-сервером, под его управлением работает порядка 22% от общего количества
серверов. Лидер здесь – открытый веб-сервер Apache, чья доля на рынке составляет
46%.
Баги в IIS проявляются достаточно редко, однако иногда это все-таки
происходит. Так, в мае компания Microsoft подтвердила наличие в IIS 6.0
уязвимости, позволяющей злоумышленникам воровать данные, после чего выпустила
для этой дыры патч, который вошел в июньский комплект ежемесячных обновлений. Мы
же добавим, что следующий ежемесячный набор патчей от Microsoft должен появиться
во вторник, 8 сентября.
