Вразливість в IIS

admin Новини ІТ-безпеки

Вразливість в IISПрактично відразу після появи повідомлень про відкриту вразливість в Internet Explorer корпорація визнала факт існування ще однієї помилки безпеки, що відноситься до типу 0-day.  На цей раз вразливим виявився FTP компонент програмного комплексу Internet Information Services (IIS).

З приводу цієї проблеми керівник групи Trustworthy Computing Дейв Форстром заявив, що розслідування інциденту вже ведеться, і необхідне виправлення буде незабаром доступно.  Представник Microsoft не виключив навіть можливості позачергового випуску патча для вразливості розглядається.  Повідомляється, що для цієї вразливості вже існує зразок експлойта, представлений фахівцем Метью Берджіном; працездатність атакуючого коду перевірялася на повністю оновленому IIS версії 7,5 для Windows 7 Professional.(Можливо вас зацікавить - Поліція допустила витік в інтернет закритих матеріалів)

Що стосується власне помилки безпеки, то вона створює загрозу відмови в обслуговуванні.  Раніше з'являлася інформація і про можливий ризик віддаленого виконання коду, проте після попереднього вивчення проблеми Microsoft заявила, що даний ризик малоймовірний.  Вразливість існує у механізмі взаємодії компонента IIS FTP Telnet зі службою; помилка відбувається в тому випадку, якщо сервер FTP намагається здійснити кодування символів Telnet IAC (Interpret As Command "інтерпретувати як команду") при відправці відповіді на зовнішній запит.

У блозі Security Research & Defense особливо наголошується, що зловмисник може викликати відмову в обслуговуванні тільки самого FTP компонента; всі інші служби IIS будуть працювати нормально.  Крім того, не всі користувачі продукту схильні розглянутої загрозу: при установці IIS цей компонент потрібно свідомо вибирати (за змовчуванням він недоступний), а по завершенні інсталяції ще й окремо включати в панелі управління.

Тим не менш, Secunia вже назначила даній вразливості критичний статус.