Hacker může kvůli chybě v FTP převzít kontrolu serveru MS IIS

2. 9. 2009

Sdílet

Člověk vystupující pod přezdívkou Milw0rm zveřejnil kód, s jehož pomocí může útočník ovládnout server Microsoft IIS (Internet Information Service).

Podobná chyba by mohla pro řadu správců webů znamenat vážný problém; naštěstí se zdá, že se týká jen starších verzí produktu. Microsoft ovšem zatím oficiálně neoznámil, jaké verze zranitelnost obsahují a jaké ne. Chyba je určitě v IIS 5.0 na Windows 2000. Výzkumník Thierry Zoller pro americký Computerworld uvedl, že obecně čím novější verze, tím by riziko mělo být méně závažné, nicméně nejspíš existuje i zde.

Vlastní chyba se týká implementace protokolu FTP, který server IIS používá k přenosu velkých souborů. Právě přes FTP dokáže útočník s pomocí zveřejněného kódu nainstalovat na server svůj vlastní software (i když k tomu údajně ještě potřebuje dokázat si zde vytvořit svůj vlastní adresář). Pokud správce protokol FTP nepovolil a velké objemy dat se přesouvají přes protokol HTTP (údajně méně efektivní), systém by měl být v bezpečí.

ICTS24

Letos v květnu se objevila chyba v IIS s povolenou službou WebDav (viz článek Microsoft WebDav může být rizikem).

Aktualizace: Microsoft se chystá zveřejnit postup, jak se provozovatelé IIS mohou chránit. Podle firmy ale dosud nebyly zaznamenány žádné pokusy o zneužití.

Autor článku