Punto informatico Network

20090707113627_1739075733_20090707113549_1002079795_insecurity.png

IIS mette in pericolo i vecchi Windows

08/09/2009
- A cura di
Zane.
Sicurezza - Le versioni meno recenti di Windows utilizzate come server di rete potrebbero essere facilmente compromesse: a mostrare il fianco è Internet Information Services.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

windows (1) , iis (1) , pericolo (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 126 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Tutti gli amministratori di rete e gli utenti avanzati che utilizzassero Internet Information Services (IIS) per erogare servizi di networking farebbero meglio a prestare la massima attenzione.

Microsoft ha infatti diramato da qualche giorno il Security Advisory 975191 dal titolo Vulnerabilities in the FTP Service in Internet Information Services.

Nel corso del bollettino, il colosso avverte i propri clienti che una debolezza rintracciata nelle versioni 5.0 (Windows 2000), 5.1 (Windows XP), 6.0 (Windows Server 2003) 7.0 (Windows Vista e Windows Server 2008) di IIS potrebbe consentire ad un utente remoto e non autenticato di danneggiare il sistema.

In altre parole, sono afflitte tutte le installazioni di IIS precedenti a Windows 7 ed alla sua controparte Windows Server 2008 R2.

L'esito di un attacco andato a buon fine avrebbe esito variabile a seconda della versione di IIS assaltata.

Il pericolo più elevato è per IIS 5.0 in dotazione a Windows 2000: su tale configurazione infatti, l'attaccante potrebbe riuscire ad eseguire codice arbitrario, prendendo così pieno controllo del calcolatore.

Per quanto riguarda le versioni successive invece, il rischio è più contenuto: un aggressore potrebbe causare un Denial of Service, portando quindi alla paralisi del programma e all'irraggiungibilità di tutti i servizi da esso erogati, ma non sarebbe in grado di eseguire codice.

In particolare, è il modulo per l'accesso FTP a contenere la debolezza: tutte le installazioni dell'applicativo alle quali non fosse stato manualmente aggiunto tale elemento sono quindi al sicuro.

Contrariamente a quanto avviene spesso in questi casi, il rischio è tutt'altro che teorico: è infatti sufficiente navigare nei siti specializzati per rintracciare almeno un exploit che, secondo le impressioni raccolte, sarebbe già perfettamente funzionante.

In attesa di un aggiornamento, è possibile proteggere il proprio server in molteplici modi.

Per tutte le versioni di IIS, Microsoft informa che è consigliabile inibire il permesso di creazione di directory sul server da parte dell'utente anonimo per tutelarsi dai pericoli maggiori: il problema non viene del tutto risolto, ma diviene così impossibile raggiungere la porzione di codice fallata.

È importante precisare anche che tale pratica mette al sicuro (non completamente, ma comunque con un fattore di affidabilità accettabile nella maggior parte dei casi) dagli utenti anonimi, ma non da un attacco proveniente da coloro che possiedono credenziali d'accesso valide.

Inoltre, la possibilità di eseguire un Denial of Service parrebbe persistere nonostante il rimedio.

Per quanto riguarda i soli Windows Vista e Windows Server 2008, l'approccio più efficace è quello di aggiornare il servizio FTP di IIS alla versione 7.5: l'aggiornamento è liberamente scaricabile in versione 32 bit oppure 64 bit.

L'alternativa più drastica, ma completamente risolutiva, potrebbe essere quella di rimuovere completamente il servizio FTP da IIS, magari ripiegando su un programma differente per concedere l'accesso agli utenti: una buona alternativa è FileZilla Server: ne ho parlato nell'articolo "Guida completa: come predisporre un server FTP sul proprio PC".

È comunque bene non dimenticare che nessuna versione di Windows per workstation viene distribuita con IIS attivo di default. Inoltre, nemmeno il servizio FTP viene installato come modulo del programma per impostazione predefinita.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.23 sec.
    •  | Utenti conn.: 108
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0.11