El 25 de enero nos hacíamos eco de un grave problema existente en servdores IIS con Index Server por el cual mediante simple peticiones web un atacante podría tener acceso a el contenido de archivos y páginas fuente del servidor. El problema ya quedó solucionado rápidamente por Microsoft, pero se han descubierto nuevos problemas presentes tras la instalación del parche de Microsoft.
Como ya informamos a primeros de año, Internet Information Server 4.0 incluye la librería webhits.dll que permite que las búsquedas realizadas mediante Index Server queden resaltadas («hit-highlighting»). Webhits.dll genera los resultados a través de archivos con extensión .htw. Es en esta aplicación (webhits.dll) donde residía la vulnerabilidad original, por la cual un usuario malicioso podía saltar el sistema de archivos virtual del web y ganar acceso no autorizado a otros archivos de la misma unidad de disco.
En su momento, y tal y como informó HispaSec existían dos vulnerabilidades inherentes al fallo anteriormente descrito, que quedaban corregidas con el parche publicado por Microsoft. Si bien en la actualidad se ha descubierto un tercer problema que afecta a cualquier sitio web con Internet Information Server 4 o 5 con Index Server incluso si se instal¢ el anterior parche.
Los sistemas afectados exponen el c¢digo fuente de p ginas asp o de otros archivos relevantes como el global.asp. A menudo estos archivos contienen informaci¢n sensible como identificadores de usuario y passwords, nombres de bases de datos, y otros datos que pueden ser empleados por un usuario malicioso para atacar un sitio web.
En esta ocasi¢n el problema reside en que «null.htw» no es un nombre v lido para ningon archivo sobre el sistema de ficheros. Por lo que la nueva variaci¢n sobre el anterior aviso reside en la posibilidad de introducir un %20 al final del par metro de CiWebHitsFile:
http://charon/null.htw?CiWebHitsFile=/default.asp%20&CiRestriction=none&CiHiliteType=Full
Microsoft ha publicado una revisi¢n sobre el anterior bolet¡n de seguridad, con el correspondiente parche por lo que se recomienda la instalaci¢n en todos los sitios web que proporciones servicios mediante Index Server.
M s informaci¢n:
Una-al-dia (25-01-2000) Grave vulnerabilidad en servidores NT con IIS 4: http://www.hispasec.com/unaaldia.asp?id=455
Aviso de Seguridad del Equipo de Seguridad Cerberus:
http://www.cerberus-infosec.co.uk/adviissp.html
Bolet¡n de seguridad de Microsoft sobre el problema:
http://www.microsoft.com/technet/security/bulletin/ms00-006.asp
Preguntas y Respuestas de Microsoft sobre el problema:
http://www.microsoft.com/technet/security/bulletin/fq00-006.asp
Parche para Index Server 2.0 (Intel):
http://www.microsoft.com/downloads/release.asp?ReleaseID=17727
Parche para servicios de indexaci¢n para Windows 2000 (Intel):
http://www.microsoft.com/downloads/release.asp?ReleaseID=17726
Antonio Ropero
antonior@hispasec.com
