SEGURANÇA
Boletim
001/2001 da Lista de Segurança da Pangéia Informática
3 de Marco de 2001
Tópico:
Vulnerabilidades no tratamento de UNICODE do IIS 4.0 e 5.0
Ao longo dos ultimos meses vem se verificando um crescimento na exploracao,
com sucesso, de uma vulnerabilide anunciada em agosto de 2000, onde o
servidor IIS permite o uso de UNICODE, uma tabela unificada para
representacao de caracteres. Maiores informacoes podem ser encontradas em:
http://www.unicode.org/unicode/standard/WhatIsUnicode.html.
Porem o IIS nao verifica o tipo de caracter representado e permite
que sejam executados comandos do sistema operacional atraves de percursos
relativos, desde que o atacante represente os caracteres corretamente.
2. Impacto
Somente os ambientes com IIS 4.0 ou 5.0 instalados estao sujeitos
a estes ataques, permitindo que um usuario remoto execute qualquer
comando arbitrario no servidor alvo podendo, portanto, promover acoes
como listar, criar, remover e modificar arquivos e diretorios, senhas
dos administradores e manipular a base de registros (registry).
A despeito das possibilidades que a vulnerabilidade permite, tem-se notado
que a grande maioria dos casos de ataque tem por objetivo desfigurar as
paginas os servidor. Para tal os comandos echo, ftp e tftp estao entre os
mais utilizados.
4. Solução
- Aplique _imediatamente_ as correcoes em:
http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp
- Monitore atividades como: URLs contendo comandos CMD.EXE e percursos
relativos (..\..).
6. Informações adicionais:
Outras informacoes sobre seguranca em:
http://www.pangeia.com.br/faq.html
http://wap.pangeia.com.br/seguranca.wml
http://www.nic.br/
5. Agradecimentos:
Cristine Hoepers <cristine@nic.br>
Klaus Steding-Jessen <jessen@nic.br>
Pedro Vazquez <vazquez@iqm.unicamp.br>
|