Hola a todos, escribe Christian Linacre. El 23 de Diciembre de 2009 fuimos informados de un reporte de una vulnerabilidad en Internet Information Services (IIS).

Aun estamos investigando este problema y no estamos al tanto de ataques activos por el momento, pero queremos informar a nuestros clientes que nuestro análisis inicial muestra que el servidor web IIS debe estar configurado con una configuración no default e insegura pra poder ser vulnerable. Un atacante tendría que ser autenticado y tener permisos para escribir en un directorio en el servidor web con permisos de ejecución (execute); cosa que no está alineada con nuestras mejores prácticas o guías para la configuración segura de un servidor. Los clientes que estén usando la configuración de fábrica y quienes sigan las mejores prácticas de seguridad estén en menor riesgo de ser afectados por problemas como este.

Una vez que nuestra investigación termine, tomaremos las acciones apropiadas para proteger a nuestros clientes. Esto podría incluir: una actualización de seguridad en nuestro ciclo mensual regular, una actualización de seguridad fuera de banda o guías adicionales para ayudar a los clientes a protegerse. 

Esta vulnerabilidad no fue divulgada responsablemente a Microsoft y podría poner a clientes en riesgo. Nosotros, como siempre, continuamos reforzando la práctica de divulgación responsable de vulnerabilidad y creemos que reportar directamente al fabricante es lo mejor para los intereses de todos de mantener un ecosistema más seguro. Esta práctica ayuda a asegurar que los clientes reciben actualizaciones de seguridad de alta calidad, comprehensivas y sin exposición a ataques maliciosos mientras la actualización es fabricada.

Quiero mencionar algunos recursos y buenas prácticas para configurar de manera segura servidores IIS:

IIS 6.0 Security Best Practices
http://technet.microsoft.com/en-us/library/cc782762(WS.10).aspx

Securing Sites with Web Site Permissions
http://technet.microsoft.com/en-us/library/cc756133(WS.10).aspx

IIS 6.0 Operations Guide
http://technet.microsoft.com/en-us/library/cc785089(WS.10).aspx

Improving Web Application Security: Threats and Countermeasures
http://msdn.microsoft.com/en-us/library/ms994921.aspx

 

Saludos, Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**