IIS 6 -hyökkäys voi antaa hakkereille skaalata palvelimille

Turvallisuustoimittajat varoittavat Microsoftin Internet Information Services 6 -Web-palvelinohjelmiston käyttäjistä, että uusi verkkohyökkäys saattaa vaarantaa tietonsa.

Virhe julkistettiin torstaina, kun tietoturva-tutkija Nikolaos Rangos lähetti yksityiskohtia haavoittuvuus Full Disclosure -turvallisuuden postituslistalle. Lähettämällä palvelimelle erikoiskäsitelty HTTP-pyyntö hän pystyi katselemaan ja lataamaan tiedostoja koneelle. Hyökkäys hyödyntää vikaa siinä, miten Microsoftin ohjelmistoprosessit käsittelevät Unicode-tunnuksia.

Haavoittuvuutta käytetään verkkohyökkäyksissä, Yhdysvaltain tietokonehuollon hätäapuvälitysryhmä sanoi maanantaina.

[Lue lisää: poista haittaohjelmat Windows-tietokoneelta]

Microsoft totesi lausunnossaan, että se ei ollut kuullut tällaisista hyökkäyksistä vaan että se tutki Rangosin vaatimuksia. "Olemme työskennelleet turvallisuusneuvontaa tarjoamalla asiakkaille ohjeita", sanoi yritys maanantaina.

Vika vaikuttaa IIS 6-käyttäjiin, jotka ovat ottaneet WebDAV-protokollan käyttöön (Web-pohjaiset hajautetut julkaisut ja versiot), joita käytetään asiakirjojen jakamiseen verkossa.

Se antaa hyökkääjille mahdollisuuden tarkastella suojattuja tiedostoja palvelimella ilman lupaa ja sitä voidaan käyttää myös tiedostojen lähettämiseen Thierry Zollerin, riippumattoman tietoturva-tutkijan mukaan, joka vahvisti Rangosin tulokset. Zoller kuitenkin totesi, että hän ei löytänyt mitään keinoa käyttää tätä vikaa IIS-palvelimen luvattoman ohjelmiston suorittamiseen.

Zoller sanoi, että IIS 5 ja IIS 7 eivät näytä olevan haavoittuvia hyökkäykseen, mutta se saattaa vaikuttaa muihin Microsoft tuotteita, jotka käyttävät WebDAV-tekniikkaa. "Parempi turvallisempi kuin pahoillaan", hän sanoi pikaviestinä: "Poista WebDAV tilapäisesti ja odota, että Microsoft korjaa."

Sähköpostihaastattelussa Rangos kertoi, että vaikka WebDAV käytössä, Exchange Server toimii IIS 6: ssa ja

Cisco kuulosti vastaavan varoituksen. "Sivustojen ylläpitäjät, jotka vastaanottavat arkaluonteisia tietoja WebDAV: ää käyttävistä IIS-palvelimista, kehotetaan tekemään tehokkaat lieventämiset välittömästi, koska hyväksikäyttökoodit ovat julkisesti saatavilla", sanoi yhtiö Web-sivustonsa lähettämässä varoitusilmoituksessa.