Punto informatico Network

20090211120656_622874555_20090211120642_1707738908_Untitled.png

Internet Information Services: le cartelle protette sono a rischio

20/05/2009
- A cura di
Zane.
Sicurezza - Gli amministratori di sistema si preparino: un baco nelle funzionalità di autenticazione offerte dal modulo WebDAV potrebbe consentire l'accesso ad informazioni altrimenti riservate. In attesa di un aggiornamento, arrivano i rimedi temporanei.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

windows (1) , windows 7 (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 99 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Potrebbe portare a conseguenze indubbiamente spiacevoli la nuova falla rilevata nel web server Microsoft annunciata nella tarda serata di lunedì.

Stando a quanto si legge nell'advisory rilasciato dall'azienda, un baco localizzato nelle funzionalità di autenticazione offerte da Internet Information Services (IIS) potrebbe consentire ad un utente remoto di superare la richiesta di autenticazione, e garantire così accesso ad informazioni contenute all'interno di cartelle protette.

Il bug è localizzato nell'estensione WebDAV di IIS e, si legge nel bollettino, potrebbe essere sfruttato semplicemente inviando al server una richiesta HTTP confezionata ad hoc per far leva sulla debolezza.

A mitigare la pericolosità del problema, intervengono comunque tre importanti fattori: in prima battuta, il problema non consente di bypassare il controllo delle eventuali Access Control List (ACL) impostate a livello di file system. Per impostazione predefinita inoltre, l'account anonimo mediante il quale è possibile accedere non possiede privilegi di scrittura, limitando quindi il rischio al furto di informazioni, ma non alla loro modifica. Infine, il modulo WebDAV non è abilitato di default su IIS 6, sebbene è pressoché consuetudine per la maggior parte degli amministratori rendere disponibili tali funzionalità.

Sono afflitte le versioni 5.0 (Windows 2000), 5.1 (Windows XP) e 6.0 (Windows Server 2003) di Internet Information Services. La "7.0", inclusa in Windows Server 2008 e Windows Vista (edizioni Business, Enterprise ed Ultimate) pare invece essere immune. Nessuna informazione è stata rilasciata invece circa la 7.5 che affianca Windows Server 2008 e Windows 7, ma è presumibile che, basandosi sullo stesso codice del precedente, sia a propria volta protetto.

Microsoft rassicura comunque i propri clienti: al momento non sono state ancora segnalate aggressioni basate sul nuovo problema. Ciò nonostante, i dettagli della falla sembrano essere statati annunciati pubblicamente, aumentando il rischio che qualcuno possa realizzare un exploit funzionante prima della disponibilità della relativa patch.

L'aggiornamento infatti potrebbe non arrivare ancora per qualche tempo: il bollettino di sicurezza mensile Microsoft è stato rilasciato martedì della scorsa settimana, ed il prossimo non arriverà prima del 9 giugno.

Il blog ufficiale Microsoft Security Research & Defence ha pubblicato un interessante post con maggiori dettagli sul problema, e le varie contromisure che è possibile adottare in attessa del fix ufficiale.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.25 sec.
    •  | Utenti conn.: 128
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0