安全通报 971492: IIS 缓解与 FAQ Part II [转译]

<<本文章转译自 Security Research & Defense 博客文章 "Answers to the IIS WebDAV authentication bypass questions ">>

相关中文博客文章请参考："安全通报 971492: IIS 缓解与 FAQ Part I”

我们最近收到客户关于 IIS 中 WebDAV 验证绕过的一些问题反馈，想在此发表一些常见问题以及回答来帮助任何有同样问题的客户。

问题：Sharepoint 是否有验证绕过的脆弱性

回答：没有。Sharepoint 不具有这个漏洞的脆弱性。Sharepoint 小组并没有用到 IIS 的相同代码。他们的 DAV 服务器运用了后端的 SQL 存储，而不是文件系统。

问题：Outlook Web Access (OWA) 是否有验证绕过的脆弱性

回答：没有。OWA 不具有这个漏洞的脆弱性。Exchange 2007 以及之前的版本都支持 WebDAV 协议，但是他们对于 WebDAV 的执行方式是 Exchange 式的，即只有读取/写入，而不与文件系统直接互动。

问题：如何在我的环境中找到运行 WebDAV 的 IIS 服务器

回答：你可以在服务器上运行 IIS 管理器界面来很快区别是否这个服务器运行 WebDAV。如果你想远程操作，可以直接向服务器发送一个 HTTP 请求

$ telnet server 80
OPTIONS / HTTP/1.1
Host: server
Accept: */*

(在空白行上的一个额外的回车可以完成对于 Web 服务器的请求)

如果你收到一个如下的 HTTP 响应，那么这个服务器就运行了 WebDAV。

HTTP/1.1 200 OK
Date: Wed, 20 May 2009 00:52:58 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
MS-Author-Via: DAV
Content-Length: 0
Accept-Ranges: none
DASL:
DAV: 1, 2
Public: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIND, PROPPATCH, LOCK, UNLOCK, SEARCH
Allow: OPTIONS, TRACE, GET, HEAD, COPY, PROPFIND, SEARCH, LOCK, UNLOCK
Cache-Control: private

通过以上响应来判断WebDAV是否存在的逻辑如下：

• 收到 2xx 的响应表示 OPTIONS 请求已经送达了网站根目录
• 响应中含有 DAV 头部，值为：1，2
• 响应中含有 MS-Author-Via 头部，值为：DAV
• 响应中没有 X-MSDAVEXT 头部，如果存在则表示这是一个 Sharepoint 的 DAV

WebDAV 与 WebDAV 重定向器/小型重定向器的区别。

回答：WebDAV 服务器是在服务端的一个服务器组件，能在 IIS 上面发布 WebDAV。WebDAV 服务器组件在 previous SRD blog 和 MSRC security advisory 中涉及到。

Windows 同样也包括客户端组件，使客户端与 WebDAV 服务器的互动更加容易。客户端组件并没有受到这个漏洞的影响。WebDAV 重定向器是一个建立在 WebDAV 协议上的远程文件系统，通过命令行可以允许 Windows 客户机与 WebDAV 发布的目录联系。WebDAV 重定向器让你能够在 Web 上操作文件就如同文件存在于有映射的网络驱动器上一般。WebDAV 小型重定向器也被叫做网络客户服务。这个服务可以将启动 DAV 功能的文件夹显示为通用命名约定（UNC）共享。

如果您有对于此漏洞任何问题，请联系我们，谢谢。

- Jonathan Ness, MSRC Engineering

相关中文博客文章请参考："安全通报 971492: IIS 缓解与 FAQ Part I”