Microsoft: IIS 0-day eigen schuld van beheerders
Gepubliceerd: Donderdag 7 januari 2010
Auteur: Michiel van Blommestein
Microsoft heeft in de kerstperiode te kampen gehad met een zero-day melding voor IIS 6.0 en eerdere versies. Deze week wijst Microsoft eigenwijze serverbeheerders als de schuldigen aan.
Vlak voor de kerst dook een proof-of-concept op van een exploit waarmee hackers kwaadaardige code op de webserver kunnen zetten. Een fout waarmee de server omgaat met dubbele punten in urls. Daarmee vallen contentfilters te omzeilen, zo luiden de beweringen.
De kwetsbaarheid was door beveiligingswatcher Secunia bevestigd voor volledig gepatchte Windows Server 2003 R2 SP2-systemen met Microsoft IIS 6. SearchSecurity schrijft dat Microsoft een tussentijdse patch niet uitsloot, ondanks scepsis vanuit Redmond.
Maar...
Maar die tussentijdse patch lijkt definitief van de baan. Sterker: het bedrijf is helemaal niet van plan om het probleem aan te pakken, omdat het niet zou gaan om een kwetsbaarheid in de software. "Dit werkt niet op de standaardconfiguratie van IIS, en het gaat in tegen all best practises die wij hebben gepubliceerd", schrijft Christopher Budd op het blog van het Microsoft Security Response Center.
Hij doelt daarbij op de privileges waarmee 'Write' en 'Execute' in dezelfde map mogelijk worden gemaakt. Daarnaast moet de upload-map ook nog eens permissies worden gegeven voor het draaien van scripts. "Kort gezegd is een IIS server die op deze manier wordt geconfigureerd inherent kwetsbaar voor aanvallen", aldus Budd.
Moraal van het verhaal voor beheerders is volgens Microsoft dan ook dat je je gewoon zoveel mogelijk aan de standaardconfiguraties moet houden.
Bron: Techworld
