Security Advisory 975191 - haavoittuvuus Windowsin FTP-palvelussa
Microsoft on juuri äsken julkaissut uuden Security Advisoryn 975191 otsikolla Vulnerability in Internet Information Services FTP Service Could Allow for Remote Code Execution. Advisory koskee Internet Information Services -palvelun versioiden 5.0, 5.1 ja 6.0 osana olevaa FTP-palvelua. Myöhään sunnuntaina 30.8.2009 netissä alkoi liikkua raportteja FTP-palvelua koskevasta haavoittuvuudesta, joka antaa vihamieliselle hyökkääjälle mahdollisuuden suorittaa haluamaansa ohjelmakoodia kohteena olevassa FTP-palvelimessa. Vihamielinen hyökkääjä voi hyödyntää haavoittuvuutta, jos hänellä on kelvollinen käyttäjätunnus kohteena olevaan palvelimeen, ja mahdollisuus kirjoittaa palvelimeen tiedostoja tai hakemistoja. Tietyllä tavalla hyödynnetty kirjoitustoiminto aiheuttaa palvelimessa pino-pohajisen ylivuodon, minkä jälkeen hyökkääjä pääsee suorittamaan haluamaansa ohjelmakoodia. Haavoittuvuus on MSRC:n tiedossa ja siihen ollaan parhaillaan tekemässä korjausta.
Haavoittuvuus koskee siis seuraavia IIS-palvelun versioita:
Internet Information Services 5.0 - käyttöjärjestelmänä Windows 2000 (Service Pack 4)
Internet Information Services 5.1 - käyttöjärjestelmänä Windows XP (Service Pack 2 tai Service Pack 3)
Internet Information Services 6.0 - käyttöjärjestelmänä Windows Server 2003 (Service Pack 2)
Haavoittuvuuteen ei siis vielä ole korjausta saatavilla - mitä voin tehdä haavoittuvuuden aiheuttaman riskin pienentämiseksi? No, ihan ensimmäisenä kannattaa huomioida, että haavoittuvuus koskee ainoastaan järjestelmiä, joissa FTP-palvelu on käytössä. FTP-palvelu asentuu oletuksena käyttöön järjestelmissä, joiden käyttöjärjestelmä on Windows 2000 tai WIndows Small Business Server 2003. Sen sijaan muissa WIndows-järjestelmissä FTP-palvelu EI ole oletuksena käytössä. Toisekseen, haavoittuvuutta voidan hyödyntää ainoastaan silloin, jos käyttäjällä on kirjoitusoikeus FTP-palvelimeen, ja näin ei ole oletuksena missään Windows-versiossa. Tämän jälkeen kannattaa lukaista itse Advisory - Advisoryn loppuosassa, kohdan Suggested Actions alla on Workarounds-otsikon alla dokumentoitu joitakin keinoja, joilla haavoittuvuuden aiheuttamaa riskiä voidaan pienentää - keinot liittyvät joko kirjoitusoikeuksien poistamiseen tai rajoittamiseen tai FTP-palvelun poistamiseen käytöstä.
Lisätietoja löytyy mm. seuraavista paikoista:
- MSRC:n blogi - https://blogs.technet.com/msrc/archive/2009/09/01/microsoft-security-advisory-975191-released.aspx
- Päivitetty: Lisätietoja löytyy myös Security Research & Defense -blogista - https://blogs.technet.com/srd/archive/2009/09/01/new-vulnerability-in-iis5-and-iis6.aspx