Microsoft WebDav může být rizikem

19. 5. 2009

Sdílet

Chyba ohrožuje Internet Information Server 6 s povolenou službou WebDav. Útočník může přes požadavek HTTP soubory zobrazovat i nahrávat na server.

Bezpečnostní výzkumník Nikolaos Rangos zveřejnil informaci o zranitelnosti služby Internet Information Services 6. Kvůli bezpečnostní chybě může útočník pomocí speciálně upraveného požadavku HTTP zobrazit adresářovou strukturu a soubory na webovém serveru a také sem soubory uploadovat.

Útok je podle Rangose umožněn způsobem, jakým software Microsoftu zpracovává tokeny ve formátu Unicode. Americký CERT (Computer Emergency Response Team) vydal varování, podle něhož již tyto útoky probíhají. Microsoft naopak tvrdí, že žádné útoky nezaznamenal a Rangosovo tvrzení zkoumá. Další výzkumník Thierry Zoller chybu potvrdil a varování uživatelům serverů MS Internet Information Server zveřejnilo také Cisco..

Chyba ohrožuje Internet Information Server 6 s povolenou službou WebDav (Web-based Distributed Authoring and Versioning), která slouží ke sdílení dokumentů. Útočník může s její pomocí dokumenty na server uploadovat, byť kód zde podle Zollera není možné bez dalších oprávnění vzdáleně spustit. Nicméně riziko představuje určitě už samotné nahrávání malwaru; navíc by tato chyba mohla být velmi vážná, kdyby se zkombinovala s jinými zranitelnostmi.

bitcoin_skoleni

Verze serverů IIS 5 a IIS 7 podle Rangose zranitelné nejsou, taktéž ani Exchange Server běžící na IIS 6 nebo SharePoint, problém by naopak mohl být v jiných produktech Microsoftu, které používají službu WebDav. Nejjednodušší podle Zollera je (alespoň tam, kde to nezpůsobí další komplikace) WebDav prostě všude preventivně povypínat a počkat na opravu Microsoftu.