安全通报 971492: IIS 缓解与 FAQ Part I [转译]

  • Article

<<本文章转译自 Security Research & Defense 博客文章 " More information about the IIS authentication bypass ">>

安全通报 971492 提供了关于绕过 IIS 验证的新漏洞的官方指导。我们想在这个博客中提供更多详细资料来帮助你理解:

  • 我有没有危险?如果有,会发生什么?
  • 我怎样才能保护我自己?

何种 IIS 配置方式是有危险的?

只有特定的 IIS 配置是受到这个漏洞威胁的。首先,我们会列出 没有危险 的配置,这样一部分读者就可以尽快结束为他们的网站服务器担心:

  • 没有运行 WevDAV 的 IIS 服务器是安全的
    默认情况下,Windows Server 2003 IIS (版本6) 中的 WevDAV 是关闭的。
  • 没有使用 IIS 权限来限制网页内容只被经过验证用户访问的 IIS 服务器是安全的。
  • 没有向 “IUSR_[机器名]” 帐号开放文件系统访问权限的 IIS 服务器是安全的。
  • 只使用基于表单验证的网页程序的 IIS 服务器很可能是安全的。

如果你的网页服务器符合以下所有标准,你会想继续看下去:

  • 如果 IIS 5/5.1/6.0 正开着 WevDAV;
  • 并且 IIS 服务器正在使用 IIS 权限来限制一个子文件夹的内容只被经过验证的用户访问;
  • 并且 “IUSR_[机器名]” 帐号拥有对受限内容的文件系统访问权限;
  • 并且 私有子文件夹的父文件夹允许匿名访问;

那么一个匿名的远程用户可以利用这个漏洞来访问那些正常情况下只被经过验证的用户访问的文件。

这个漏洞主要是信息泄漏的威胁。

这个信息泄漏漏洞完全绕过验证机制吗?

这么说并不确切。恶意构造的 URL 可以使 IIS 访问检查机制错误地使用父目录的 metabase 存取关键字。

一个被发送给有漏洞的 IIS 服务器的恶意 HTTP 请求,会被网页服务器和 WebDAV 扩展同时计算。当 WebDAV 扩展尝试把 URL 正规化的时候,它会修改 URL。此时访问检查使用父目录的访问权限,但是 IIS 却会提供子目录中的文件。因此,最有可能的攻击是一个恶意的匿名用户请求网页服务器上子目录的内容,而这个子目录使用 IIS 权限来限制只被经过验证的用户访问。典型的情况下,网页服务器的根目录会对匿名用户开放读访问权限,那么这个漏洞就会允许使用根目录的权限来访问受保护的子目录(即允许匿名访问)。

为什么你说 “主要是信息泄漏的威胁” ?还会发生什么其他情况?

我们还在调查几种可能的使用这个漏洞的攻击思路,原始的报告称可能导致文件上传或修改。然而我们所发现的是,在 wwwroot 和继承 wwwroot 访问控制的子目录中,IIS 安装程序明确地将的NTFS 访问控制设置为禁止匿名帐号(IUSR_[机器名])写入。所以在默认情况下,这个漏洞不会允许恶意攻击者上传或者修改网页。

缓解因素和变通方案

在这篇博文的开头,我们列出了针对这个漏洞的 IIS 安全配置。其中任一项都可以转换成缓解因素或者变通方案。

变通方案

  • 变通方案 #1 :关闭 WebDAV

如果你不使用它或者去掉它可以正常工作,那么在我们发布安全更新之前,关闭 WebDAB 可能是一个不错的选择。你可以在https://support.microsoft.com/kb/241520 找到操作方法。

  • 变通方案 #2 :改变文件系统 ACL ,禁止 IUSR_[ 机器名 ] 的访问

需要记住的是,IIS 对于文件提供了两个级别的权限。首先,用户必须被 NTFS 文件系统允许访问,然后只有在这种情况下,IIS 才会检查 metabase 中的权限。如果你禁止网页服务器匿名帐号(IUSR_[机器名])的访问,那么就不会遇到可以被这个漏洞绕过的访问检查。你可以在 https://support.microsoft.com/kb/271071 找到强化网页服务器上的文件系统权限的指导。

  • 变通方案 #3 :使用 URLScan 来阻止恶意请求

URLScan 保护受影响系统不被成功利用这个漏洞。你可以在 https://technet.microsoft.com/en-us/security/cc242650.aspx 找到部署 URLScan 的指导。

缓解因素

  • 缓解因素 #1 WebDAV 在(随 Windows 2003 分发的) IIS6 上默认关闭
  • 缓解因素 #2 :如果网页服务器不使用 IIS 权限来限制访问,那么这个漏洞就不会被涉及到。
  • 缓解因素 #3 :如果网页服务器使用基于表单的验证,那么这个漏洞很可能不会被涉及。

这个绕过访问检查的漏洞很可能会对部署基本、摘要式或者集成认证的网站造成影响。大多数基于互联网的网站使用基于表单的验证(输入到服务器端网页中的用户名/密码表单)。通过对 PREPROC_HEADERS 过滤的 ISAPI 过滤器实现的表单验证模式不会受这个漏洞影响。然而,通过 ISAPI 扩展实现的表单验证模式会受影响,因为 WebDAV 仍然会获得请求。

  • 缓解因素 #4 IIS 安装程序默认会阻止匿名帐号的写入权限(阻止利用这个漏洞上传或者修改网页)

 

感谢 IIS 部门的 Wade Hilmo 和 Nazim Lala 帮助调查这个问题。

如果你有任何问题,请发送到 secure@microsoft.com。谢谢。

- Jonathan Ness, MSRC Engineering

*帖子内容是“按目前情况”,不作任何保证,且不赋予任何权利