Knullig maar gapend gat in IIS 6.0
Gepubliceerd: Maandag 18 mei 2009
Auteur: Michiel van Blommestein
Een white hat heeft een lek ontdekt in Internet Information Services (IIS) 6.0, de versie van Microsofts webserver die draait op machines met Windows Server 2003.
De hacker heeft een uitleg gepubliceerd van hoe aanvallers het gat kunnen uitbuiten. De fout zit hem in de manier waarop IIS omgaat met WebDAV, een extensie voor http waarmee je bestanden op de webserver met anderen kunt beheren. Het wachtwoordmechanisme is eenvoudig te omzeilen.
Door unicode in de http mee te sturen, raakt bij een aanvraag van een bestand de webserver in de war, zo beweert hacker Nikalaos 'Kingcope' Rangos. Als de hacker weet welk bestand hij wil hebben, kan hij het via WebDAV krijgen zonder dat om het wachtwoord wordt gevraagd. Maar obscurity (het ervan uitgaan dat de hacker het bestand niet kent) werkt ook niet, want het is met een apart commando mogelijk om via hetzelfde lek een lijst te krijgen van de bestanden in een beschermde map.
Tot een patch beschikbaar komt, zou je WebDAV uit kunnen schakelen in IIS 6.0. Maar wie Sharepoint op zijn webserver draait kan dat beter niet doen, omdat de services van Sharepoint afhankelijk zijn van de WebDAV-functie. De versies voor Windows Server 2008/Vista en de combinatie Windows Server 2008 R2 en Win7, 7.0 en 7.5 respectievelijk, zijn niet kwetsbaar.
Bron: Techworld
