SEGURANÇA

Tópico: Vulnerabilidades no tratamento de UNICODE do IIS 4.0 e 5.0

Ao longo dos ultimos meses vem se verificando um crescimento na exploracao, 
com sucesso, de uma vulnerabilide anunciada em agosto de 2000, onde o
servidor IIS permite o uso de UNICODE, uma tabela unificada para 
representacao de caracteres. Maiores informacoes podem ser encontradas em:
http://www.unicode.org/unicode/standard/WhatIsUnicode.html.
Porem o IIS nao verifica o tipo de caracter representado e permite
que sejam executados comandos do sistema operacional atraves de percursos 
relativos, desde que o atacante represente os caracteres corretamente.

2. Impacto

Somente os ambientes com IIS 4.0 ou 5.0 instalados estao sujeitos
a estes ataques, permitindo que um usuario remoto execute qualquer 
comando arbitrario no servidor alvo podendo, portanto, promover acoes 
como listar, criar, remover e modificar arquivos e diretorios, senhas 
dos administradores e manipular a base de registros (registry). 
A despeito das possibilidades que a vulnerabilidade permite, tem-se notado 
que a grande maioria dos casos de ataque tem por objetivo desfigurar as 
paginas os servidor. Para tal os comandos echo, ftp e tftp estao entre os 
mais utilizados.


4. Solução

- Aplique _imediatamente_ as correcoes em:
http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp

- Monitore atividades como: URLs contendo comandos CMD.EXE e percursos
relativos (..\..). 

6. Informações adicionais:

Outras informacoes sobre seguranca em: 
http://www.pangeia.com.br/faq.html 
http://wap.pangeia.com.br/seguranca.wml
http://www.nic.br/ 

5. Agradecimentos:

Cristine Hoepers <cristine@nic.br>
Klaus Steding-Jessen <jessen@nic.br>
Pedro Vazquez <vazquez@iqm.unicamp.br>