Hola, les escribe Roberto Arbeláez. Ayer en la noche Microsoft liberó el Security Advisory 971492 en el cual se informa que se está investigando una vulnerabilidad que afecta a IIS en sus versiones 5.0, 5.1 y 6.0.

Esta vulnerabilidad permite la escalación de privilegios, debido a la manera como las extensiones de WebDAV (Web Based Distributed Authoring and Versioning) de IIS manejan las solicitudes HTTP.

WebDAV es un conjunto de estensiones de HTTP, que permiten la edición y administración colegiada/colaborativa en servidores web remotos, y está definida por el IETF (Internet Engineering Task Force) en el RFC 4918.

La explotación de esta vulnerabilidad podría permitir que un atacante a través de una solicitud HTTP anónima, tener acceso a una ubicación lógica en el sistema que típicamente requiere de autenticación para ser accedida.

Factores que mitigan el riesgo de que esta vulnerabilidad sea explotada

Hay algunos factores que reducen el riesgo de que esta vulnerabilidad sea explotada, entre ellos:

  • Aunque esta vulnerabilidad se “salta” la configuración de IIS que especifica si se requiere autenticación (y cuál) para acceder a sitios lógicos (carpetas/directorios) en el sistema (al menos en la estructura de directorios de IIS), no se salta la validación contra ACL (Access Control Lists – Listas de Control de Acceso) del sistema de archivos del sistema operativo, que siempre valida si un archivo puede ser accedido por un usuario específico. Debido a ello, y a que IIS utiliza para su interacción con el sistema operativo la cuenta de usuario anónimo, aún si la vulnerabilidad es exitosamente explotada, el atacante se vería limitado a hacer únicamente lo que los permisos de la cuenta de usuario anónimo le permiten en el sistema. La cuenta de usuario anónimo es por defecto la misma cuenta IUSR_<nombre-del-computador>.
  • Por defecto, la cuenta de usuario anónimo no tiene permisos de escritura. Esto en principio le permitiría al atacante únicamente poder leer (pero no cambiar/modificar/borrar) archivos que estén en las ubicaciones lógicas que el atacante logre acceder a través de la explotación exitosa de ésta vulnerabilidad. Para poder tener permisos de escritura, la cuenta de usuario anónimo debe tener permisos de escritura en el sistema operativo, dentro de la estructura de directorios de IIS, lo que debe ser realizado manualmente por el administrador del sistema (y por supuesto, no es buena idea). Adicionalmente, en IIS 6.0, hay una negación explícita de Entrada de control de Acceso (explicit ACE  Deny)  para la cuenta de usuario anónimo en la estructura de directorios de IIS. Este explicit ACE Deny  tiene precedencia por sobre cualquier otro permiso (de hecho anula cualquier otro permiso). A menos que esta negación explicita sea modificada por el administrador manualmente, será heredada por todos los nodos del árbol de directorios bajo wwwroot, y no permitirá el acceso con permisos de escritura a la estructura de directorios de IIS a través de la cuenta de usuario anónimo.
  • Las extensiones WebDAV no vienen preactivadas en la instalación normal de IIS 6.0 en Windows server 2003, por lo que si no han sido activadas manualmente por el administrador del sistema, la vulnerabilidad no ha sido expuesta y no puede ser explotada.

En principio, (y basandonos en la premisa de que la cuenta de usuario anónimo que es utilizada por IIS no tenga permisos de escritura sobre la estructura de directorios de IIS, lo cual nunca debería ocurrir), esta vulnerabilidad no permitiría el “deface” (la desfiguración) de sitios web, pudiendo únicamente darle al atacante acceso de lectura a directorios que estén protegidos con contraseña, y que un usuario normal no estaría en capacidad de acceder (a menos que cuente con credenciales de acceso válidas).

Información mas detallada sobre esta vulnerabilidad, y sobre soluciones temporales (workarounds) se puede obtener aqui:

http://blogs.technet.com/srd/archive/2009/05/18/more-information-about-the-iis-authentication-bypass.aspx

Como siempre, en caso de que necesiten soporte de seguridad, pueden obtenerlo de manera gratuita a través de las lineas de soporte de Microsoft.

Saludos,

 

Roberto Arbeláez

Security Program Manager for Latin America

CSS Security

 

 

**Esto se publica “como está” sin garantías y no confiere derechos**