www.MegaLab.it

Potrebbe portare a conseguenze indubbiamente spiacevoli la nuova falla rilevata nel web server Microsoft annunciata nella tarda serata di lunedì.

Stando a quanto si legge nell'advisory rilasciato dall'azienda, un baco localizzato nelle funzionalità di autenticazione offerte da Internet Information Services (IIS) potrebbe consentire ad un utente remoto di superare la richiesta di autenticazione, e garantire così accesso ad informazioni contenute all'interno di cartelle protette.

Il bug è localizzato nell'estensione WebDAV di IIS e, si legge nel bollettino, potrebbe essere sfruttato semplicemente inviando al server una richiesta HTTP confezionata ad hoc per far leva sulla debolezza.

A mitigare la pericolosità del problema, intervengono comunque tre importanti fattori: in prima battuta, il problema non consente di bypassare il controllo delle eventuali Access Control List (ACL) impostate a livello di file system. Per impostazione predefinita inoltre, l'account anonimo mediante il quale è possibile accedere non possiede privilegi di scrittura, limitando quindi il rischio al furto di informazioni, ma non alla loro modifica. Infine, il modulo WebDAV non è abilitato di default su IIS 6, sebbene è pressoché consuetudine per la maggior parte degli amministratori rendere disponibili tali funzionalità.

Sono afflitte le versioni 5.0 (Windows 2000), 5.1 (Windows XP) e 6.0 (Windows Server 2003) di Internet Information Services. La "7.0", inclusa in Windows Server 2008 e Windows Vista (edizioni Business, Enterprise ed Ultimate) pare invece essere immune. Nessuna informazione è stata rilasciata invece circa la 7.5 che affianca Windows Server 2008 e Windows 7, ma è presumibile che, basandosi sullo stesso codice del precedente, sia a propria volta protetto.

Microsoft rassicura comunque i propri clienti: al momento non sono state ancora segnalate aggressioni basate sul nuovo problema. Ciò nonostante, i dettagli della falla sembrano essere statati annunciati pubblicamente, aumentando il rischio che qualcuno possa realizzare un exploit funzionante prima della disponibilità della relativa patch.

L'aggiornamento infatti potrebbe non arrivare ancora per qualche tempo: il bollettino di sicurezza mensile Microsoft è stato rilasciato martedì della scorsa settimana, ed il prossimo non arriverà prima del 9 giugno.

Il blog ufficiale Microsoft Security Research & Defence ha pubblicato un interessante post con maggiori dettagli sul problema, e le varie contromisure che è possibile adottare in attessa del fix ufficiale.