Microsoft IIS vuln leaves users open to remote attack
Beware of the 'semicolon bug'
By Dan Goodin in San Francisco • Get more from this author
Posted in Enterprise Security, 25th December 2009 01:03 GMT
Theo: http://www.theregister.co.uk/2009/12/25/microsoft_iis_semicolon_bug/
Bài được đưa lên Internet ngày: 25/12/2009
Lời người dịch: Lỗi trong máy chủ web IIS của Microsoft có liên quan tới phần mở rộng của tệp khi tải lên máy chủ web IIS của Microsoft, mà nó có thể làm cho IIS hiểu nhầm và cho phép chạy tệp thực thi của bọn tội phạm không gian mạng, gây nguy hiểm cho máy tính của người sử dụng.
Cập nhật: Một nhà nghiên cứu đã xác định được chỗ bị tổn thương trong phiên bản gần đây nhất của Microsoft Internet Information Services mà nó cho phép những kẻ tấn công chạy mã độc trên các máy tính chạy máy chủ web phổ biến này.
Lỗi này phát sinh từ cách mà IIS dịch các tên tệp với dấu : và dấu ; trong chúng, theo nhà nghiên cứu Soroush Dalili. Nhiều ứng dụng web được cấu hình để từ chối sự tải lên mà chứa các tệp thi hành, như các trang máy chủ tích cực (active server page), mà nó thường mang phần mở rộng là “.asp”. Bằng việc nối thêm “;.jpg” haowcj các mở rộng tệp khác bắt đầu đối với một tệp độc hại, những kẻ tấn công có thể vượt qua được những bộ lọc như vậy và lừa mẹo một máy chủ chạy phần mềm độc hại.
Dường như sẽ có một vài sự không đồng tình về tính nghiêm trọng của lỗi này, mà Dalili đã nói ảnh hưởng tới tất cả các phiên bản của IIS. Trong khi ông đã xếp hạng nó là “mang tính sống còn ở mức cao”, thì nhà theo dõi tính dễ bị tổn thương Secunia lại xếp nó vào loại “ít mang tính sống còn”, mà nó chỉ ở mức độ 2 trong phạm vi xếp hạng nghiêm trọng 5 mức.
“Ảnh hưởng của chỗ bị tổn thương này là đặc biệt cao khi một kẻ tấn công có thể vượt qua được những bảo vệ mở rộng tệp bằng việc sử dụng một dấu ; sau một mở rộng tệp thi hành như là '.asp', '.cer', '.asa' và vân vân”, Dalili viết. “Nhiều ứng dụng web có thể bị tổn thương đối lại các cuộc tấn công tải lên các tệp vì sự yếu kém này của IIS”. Trong một thư điện tử gửi cho El Reg, Dalili đã đưa ra kịch bản tấn công sau đây:
“Giả thiết một website mà nó chỉ chấp nhận các tệp JPG như là các tệp của người sử dụng. Và người sử dụng có thể tải lên các tệp của họ lên máy chủ. Bây giờ một kẻ tấn công cố gắng tải “Avatar.asp;.jpg” lên máy chủ. Ứng dụng web coi tệp này như là một tệp JPG. Vì thế tệp này có quyền để được tải lên máy chủ. Nhưng khi kẻ tấn công mở tệp tải lên này, thì IIS coi tệp này như một tệp ASP và cố gắng thực thi nó bằng 'asp.dll'”.
Updated A researcher has identified a vulnerability in the most recent version of Microsoft's Internet Information Services that allows attackers to execute malicious code on machines running the popular webserver.
The bug stems from the way IIS parses file names with colons or semicolons in them, according to researcher Soroush Dalili. Many web applications are configured to reject uploads that contain executable files, such as active server pages, which often carry the extension ".asp." By appending ";.jpg" or other benign file extensions to a malicious file, attackers can bypass such filters and potentially trick a server into running the malware.
There appears to be some disagreement over the severity of the bug, which Dalili said affects all versions of IIS. While he rated it "highly critical," vulnerability tracker Secunia classified it as "less critical," which is only the second notch on its five-tier severity rating scale.
"Impact of this vulnerability is absolutely high as an attacker can bypass file extension protections by using a semicolon after an executable extension such as '.asp,' '.cer,' '.asa' and so on," Dalili wrote. "Many web applications are vulnerable against file uploading attacks because of this weakness of IIS."
In an email to El Reg, Dalili offered the following attack scenario:
"Assume a website which only accepts JPG files as the users’ avatars. And the users can upload their avatars on the server. Now an attacker tries to upload "Avatar.asp;.jpg" on the server. Web application considers this file as a JPG file. So, this file has the permission to be uploaded on the server. But when the attacker opens the uploaded file, IIS considers this file as an ASP file and tries to execute it by 'asp.dll.'
“Vì thế, kẻ tấn công có thể tải lên một vỏ web lên máy chủ bằng việc sử dụng phương pháp này. Hầu hết các tệp tải lên chỉ kiểm soát phần cuối của các tệp như những phần mở rộng của chúng, và bằng việc sử dụng phương pháp này, sự bảo vệ của chúng sẽ bị vượt qua”.
Secunia đã không giải thích làm cách nào hãng đã đi tới định ước này, nhưng hãn đã khẳng định lỗi này trên một máy chạy một phiên bản được vá đầy đủ của Windows Server 2003 R2 SP2 với Microsoft IIS phiên bản 6.
Một nữ phát ngôn viên của Microsoft nói các nhà nghiên cứu của hãng đang điều tra báo cáo này. Họ không thừa nhận về các cuộc tấn công hướng mục tiêu vào chỗ bị tổn thương đã được nói tới, bà nói.
Thiếu bất kỳ chỉ dẫn chính thức nào, các quản trị web mà muốn khắp phục vấn đề tiềm tàng này phải chắc chắn rằng các thư mục tải lên không có các quyền thực thi. Và các lập trình viên web phải đảm bảo các ứng dụng của họ không bao giờ chấp nhận đầu vào của người sử dụng như một tên tệp.
"So, the attacker can upload a web-shell on the server by using this method. Most of the uploaders only control the last part of the files as their extensions, and by using this method, their protection will be bypassed."
Secunia didn't explain how it arrived at its assessment, but it did confirm the bug on a machine running a fully patched version of Windows Server 2003 R2 SP2 with Microsoft IIS version 6.
A Microsoft spokeswoman said company researchers are investigating the report. They are not aware of attacks targeting the reported vulnerability, she said.
In the absence of any official guidance, webmasters who want to workaround the potential problem should make sure that upload directories don't have execute permissions. And web developers should ensure their applications never accept the user's input as a file name.
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.