Resultados de la investigación sobre IIS

Hola a todos, escribe Christian Linacre para actualizar las noticias respecto de la supuesta vulnerabilidad de IIS que reportamos hace un par de días.

El Centro de Respuesta de Incidentes de Seguridad de Microsoft (MSRC) ha terminado la investigación respecto de los reportes respecto de la posible vulnerabilidad en IIS (Internet Information Server) reportada antes de las fiestas y hemos encontrado que NO hay tal vulnerabilidad en IIS.

Lo que se ha encontrado es una inconsistencia solamente en IIS 6 en cómo maneja los símbolos “punto y coma” (;) en los URLs. Es en esta inconsistencia que los reportes se han focalizado, diciendo que esto permite a un atacante “saltarse” software de filtro de contenido para subir  y ejecutar código en un servidor IIS.

La clave de esto, está justamente en este último punto, es que el servidor debe estar previamente configurado para aceptar y permitir los privilegios “write” y “execute” en el mismo directorio. Esto no es la configuración por defecto de IIS y va justamente en contra de nuestras buenas prácticas recomendadas y publicadas. De manera simple, un servidor IIS configurado de esta manera es inherentemente susceptible de este ataque.

Sin embargo, los clientes que estén usando IIS 6.0 en su configuración por defecto (de fábrica) o que estén siguiente nuestras recomendaciones y buenas prácticas no tienen porque preocuparse por este problema. Por otro lado, si Ud. está corriendo IIS con una configuración que tenga los privilegios “write” y “execute” en el mismo directorio como requiere este escenario; recomendamos que revise nuestras buenas prácticas y haga los cambios necesarios para asegurar sus sistema de amenazas que esta configuración pueda habilitar.

Como recordatorio, una lista de las buenas prácticas para IIS 6.0:

• IIS 6.0 Security Best Practices
• Securing Sites with Web Site Permissions
• IIS 6.0 Operations Guide
• Improving Web Application Security: Threats and Countermeasures

Saludos, Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**

Technorati: Alertas,IIS,Internet Information Server,IIS 6.0,Noticias,Seguridad,Vulnerabilidad

del.icio.us: Alertas,IIS,Internet Information Server,IIS 6.0,Noticias,Seguridad,Vulnerabilidad