La vulnerabilidad afecta a los servidores Internet Information Server en sus versiones 4 y 5 para Windows NT y 2000. El problema, que deriva del uso de las cookies para identificar las sesiones, permite a un atacante hacerse pasar por otro usuario ante un servidor seguro.
Internet Information Server utiliza cookies para identificar las sesiones web de los usuarios. El problema se presenta porque las páginas .ASP no soportan la creación de cookies de identificación para sesiones seguras, tal y como se define en el RFC 2109.
Cuando un usuario visualiza páginas seguras y no seguras en un servidor IIS está compartiendo la misma cookie de identificación en ambas ocasiones. El resultado es que en las sesiones seguras la cookie va cifrada bajo SSL, mientras que en la sesión no segura viajará en texto claro, al alcance de cualquiera que pueda «escuchar» el tráfico entre cliente y servidor. El atacante puede utilizar entonces la cookie de identificación para hacerse pasar por la v¡ctima ante el servidor seguro y realizar cualquier operaci¢n.
Microsoft facilita un parche para corregir la vulnerabilidad cuya instalaci¢n es obligatoria para todos aquellos servidores basados en Internet Information Server que ofrezcan sesiones seguras con p ginas .ASP (servicios de banca, comercios electr¢nicos, etc.).
Parche para IIS 4.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=25233
Parche para IIS 5.0
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=25232
Opina sobre esta noticia: http://www.hispasec.com/unaaldiacom.asp?id=730 M s informaci¢n:
Patch Available for «Session ID Cookie Marking» Vulnerability
http://www.microsoft.com/technet/security/bulletin/MS00-080.asp
FAQ Microsoft Security Bulletin (MS00-080)
http://www.microsoft.com/technet/security/bulletin/fq00-080.asp
Remote Retrieval Of IIS Session Cookies From Web Browsers
http://www.securityfocus.com/archive/1/141051
Bernardo Quintero
bernardo@hispasec.com
http://www.hispasec.com
