Puntkommalek plaagt Microsoft IIS webserver
Gepubliceerd: Maandag 28 december 2009
Auteur: Andreas Udo de Haes
Er zit een kwetsbaarheid in Microsoft's webserver IIS 6.0 en mogelijk ook 7.0, die volgens de ontdekker zeer kritiek is. Microsoft zelf denkt dat het wel meevalt.
De meeste websites blokkeren automatisch uploads met executable extensies zoals .exe of .asp. Maar omdat IIS ook werkt met komma's en puntkomma's, kunnen hackers toch kwaadaardige code binnensluizen door de executable te maskeren met een puntkomma en een onschuldige extensie erachter.
Puntkommahack
Wordt bijvoorbeeld 'aanvalscode.asp' meteen geblokkeerd, blijkt 'aanvalscode.asp;jpg' te worden geaccepteerd, schrijft Soroush Dalili. Volgens hem zijn IIS 6.0 en mogelijk 7.0 kwetsbaar voor deze insluipmethode, die hij de status 'zeer kritiek' heeft meegeven. Het lek zou al in april 2008 ontdekt zijn. IIS 7.5 is niet gevoelig voor de puntkommahack.
Beveligingsbedrijf Secunia heeft het lek bevestigd op IIS 6.0, maar acht de kwetsbaarheid minder heftig. Microsoft zelf doet nog onderzoek naar het lek, maar meldt dat er weinig aan de hand is. "Onze eerste uitkomsten duiden erop dat de IIS webserver in een niet-default en onveilige configuratie moet staan wil dit werken."
Patch
Microsoft zal waarschijnlijk een patch uitbrengen, maar onduidelijk is nog wanneer. Volgens de softwaremaker heeft Dalili geen verantwoorde bekendmaking (responsible disclosure) gepraktiseerd door het niet eerst aan Microsoft zelf te melden.
