aerial25
18-03-2003, 19:49
Existe una importante vulnerabilidad en el componente WebDAV del servidor
web de Internet Information Server (IIS) de Microsoft. Esta vulnerabilidad
se considera crítica ya que permite la ejecución de código arbitrario en
el servidor. Además se tiene constancia que está siendo activamente
explotada, por lo que se hace necesaria una actuación inmediata por parte
de los administradores de servidores vulnerables.
WebDAV (World Wide Web Distributed Authoring and Versioning) es una
extensión del protocolo HTTP versión 1.1, descrita en el RFC 2518, que
proporciona un estándar para la edición y administración de archivos entre
ordenadores vía Internet.
Se ha descubierto la existencia de una vulnerabilidad de seguridad en un
componente de Windows utilizado por WebDAV, provocada por la existencia de
búfer sin analizar. WebDAV es un componente incluido en la instalación por
defecto de IIS.
La vulnerabilidad puede ser aprovechada por un atacante remoto mediante el
envío de una petición HTTP especialmente construida a una máquina que
ejecute Internet Information Server (IIS). La petición podrá provocar la
caída del servidor o incluso la ejecución del código enviado por el
atacante. El código se ejecutará en el contexto de seguridad del servicio
IIS (por defecto, LocalSystem).
Como la vulnerabilidad es fácilmente explotable, es de prever que en breve
aparecerán gusanos con capacidad de autopropagación que hagan uso de esta
vulnerabilidad.
El problema de seguridad afecta a IIS 5.0 cuando se ejecuta en cualquier
versión de Windows 2000 (Service Pack 3 inclusive). Las instalaciones de
IIS en Windows XP o Windows Server 2003 no están afectadas.
Microsoft publica una actualización para evitar este problema, disponible
en:
http://microsoft.com/downloads/details.aspx?FamilyId=C9A38D45-5145-4844-B62E-C69D32AC929B&displaylang=en
Esta actualización sólo puede instalarse en equipos Windows 2000 donde se
haya aplicado el Service Pack 2 ó 3. La versión 4.0 de IIS no instala
WebDAV en la configuración por defecto.
En el caso de que no sea posible aplicar de inmediato la actualización,
debido a la gravedad de la vulnerabilidad y a la existencia de exploits
que se aprovechan de esta vulnerabilidad, existen una serie de medidas
temporales:
* En aquellas máquinas que no se utilice el IIS, es conveniente
deshabilitarlo. La versión 5.0 de ISS puede deshabilitarse a través del
panel de control Añadir/Quitar programas.
* Si la máquina debe ejecutar IIS, es conveniente verificar la
configuración del mismo. Microsoft ofrece una herramienta, IIS Lockdown
que fortalece la configuración del servidor.
* Valorar la posibilidad de instalar URLScan, una herramienta de Microsoft
que permite bloquear las peticiones contra el servidor utilizadas para
explotar esta vulnerabilidad.
* Para aquellos administradores que no puedan utilizar el IIS Lockdown o
URLScan, Microsoft facilita una tercera herramienta (URL Buffer Size
Registry Tool 1.0) que permite restringir el tamaño del búfer utilizado
por IIS para recibir las peticiones que pueden utilizarse para explotar
esta vulnerabilidad).
* Si nuestro servidor web no utiliza los servicios WebDAV, es preciso
deshabilitarlo. En el apartado de más información se facilita el enlace a
un boletín de Microsoft que explica como deshabilitar este soporte.
Debido a la importancia del problema y a la existencia de exploits, la
recomendación que hacemos desde Hispasec es que todos los administradores
de servidores IIS den la máxima prioridad a solucionar este problema. De
esta forma no sólo se evitará que sus máquinas puedan verse comprometidas,
sino que se actuará como buenos ciudadanos de Internet evitando que futuros
gusanos puedan tener una incidencia global en la red.
web de Internet Information Server (IIS) de Microsoft. Esta vulnerabilidad
se considera crítica ya que permite la ejecución de código arbitrario en
el servidor. Además se tiene constancia que está siendo activamente
explotada, por lo que se hace necesaria una actuación inmediata por parte
de los administradores de servidores vulnerables.
WebDAV (World Wide Web Distributed Authoring and Versioning) es una
extensión del protocolo HTTP versión 1.1, descrita en el RFC 2518, que
proporciona un estándar para la edición y administración de archivos entre
ordenadores vía Internet.
Se ha descubierto la existencia de una vulnerabilidad de seguridad en un
componente de Windows utilizado por WebDAV, provocada por la existencia de
búfer sin analizar. WebDAV es un componente incluido en la instalación por
defecto de IIS.
La vulnerabilidad puede ser aprovechada por un atacante remoto mediante el
envío de una petición HTTP especialmente construida a una máquina que
ejecute Internet Information Server (IIS). La petición podrá provocar la
caída del servidor o incluso la ejecución del código enviado por el
atacante. El código se ejecutará en el contexto de seguridad del servicio
IIS (por defecto, LocalSystem).
Como la vulnerabilidad es fácilmente explotable, es de prever que en breve
aparecerán gusanos con capacidad de autopropagación que hagan uso de esta
vulnerabilidad.
El problema de seguridad afecta a IIS 5.0 cuando se ejecuta en cualquier
versión de Windows 2000 (Service Pack 3 inclusive). Las instalaciones de
IIS en Windows XP o Windows Server 2003 no están afectadas.
Microsoft publica una actualización para evitar este problema, disponible
en:
http://microsoft.com/downloads/details.aspx?FamilyId=C9A38D45-5145-4844-B62E-C69D32AC929B&displaylang=en
Esta actualización sólo puede instalarse en equipos Windows 2000 donde se
haya aplicado el Service Pack 2 ó 3. La versión 4.0 de IIS no instala
WebDAV en la configuración por defecto.
En el caso de que no sea posible aplicar de inmediato la actualización,
debido a la gravedad de la vulnerabilidad y a la existencia de exploits
que se aprovechan de esta vulnerabilidad, existen una serie de medidas
temporales:
* En aquellas máquinas que no se utilice el IIS, es conveniente
deshabilitarlo. La versión 5.0 de ISS puede deshabilitarse a través del
panel de control Añadir/Quitar programas.
* Si la máquina debe ejecutar IIS, es conveniente verificar la
configuración del mismo. Microsoft ofrece una herramienta, IIS Lockdown
que fortalece la configuración del servidor.
* Valorar la posibilidad de instalar URLScan, una herramienta de Microsoft
que permite bloquear las peticiones contra el servidor utilizadas para
explotar esta vulnerabilidad.
* Para aquellos administradores que no puedan utilizar el IIS Lockdown o
URLScan, Microsoft facilita una tercera herramienta (URL Buffer Size
Registry Tool 1.0) que permite restringir el tamaño del búfer utilizado
por IIS para recibir las peticiones que pueden utilizarse para explotar
esta vulnerabilidad).
* Si nuestro servidor web no utiliza los servicios WebDAV, es preciso
deshabilitarlo. En el apartado de más información se facilita el enlace a
un boletín de Microsoft que explica como deshabilitar este soporte.
Debido a la importancia del problema y a la existencia de exploits, la
recomendación que hacemos desde Hispasec es que todos los administradores
de servidores IIS den la máxima prioridad a solucionar este problema. De
esta forma no sólo se evitará que sus máquinas puedan verse comprometidas,
sino que se actuará como buenos ciudadanos de Internet evitando que futuros
gusanos puedan tener una incidencia global en la red.