www.MegaLab.it

Tutti gli amministratori di rete e gli utenti avanzati che utilizzassero Internet Information Services (IIS) per erogare servizi di networking farebbero meglio a prestare la massima attenzione.

Microsoft ha infatti diramato da qualche giorno il Security Advisory 975191 dal titolo Vulnerabilities in the FTP Service in Internet Information Services.

Nel corso del bollettino, il colosso avverte i propri clienti che una debolezza rintracciata nelle versioni 5.0 (Windows 2000), 5.1 (Windows XP), 6.0 (Windows Server 2003) 7.0 (Windows Vista e Windows Server 2008) di IIS potrebbe consentire ad un utente remoto e non autenticato di danneggiare il sistema.

In altre parole, sono afflitte tutte le installazioni di IIS precedenti a Windows 7 ed alla sua controparte Windows Server 2008 R2.

L'esito di un attacco andato a buon fine avrebbe esito variabile a seconda della versione di IIS assaltata.

Il pericolo più elevato è per IIS 5.0 in dotazione a Windows 2000: su tale configurazione infatti, l'attaccante potrebbe riuscire ad eseguire codice arbitrario, prendendo così pieno controllo del calcolatore.

Per quanto riguarda le versioni successive invece, il rischio è più contenuto: un aggressore potrebbe causare un Denial of Service, portando quindi alla paralisi del programma e all'irraggiungibilità di tutti i servizi da esso erogati, ma non sarebbe in grado di eseguire codice.

In particolare, è il modulo per l'accesso FTP a contenere la debolezza: tutte le installazioni dell'applicativo alle quali non fosse stato manualmente aggiunto tale elemento sono quindi al sicuro.

Contrariamente a quanto avviene spesso in questi casi, il rischio è tutt'altro che teorico: è infatti sufficiente navigare nei siti specializzati per rintracciare almeno un exploit che, secondo le impressioni raccolte, sarebbe già perfettamente funzionante.

In attesa di un aggiornamento, è possibile proteggere il proprio server in molteplici modi.

Per tutte le versioni di IIS, Microsoft informa che è consigliabile inibire il permesso di creazione di directory sul server da parte dell'utente anonimo per tutelarsi dai pericoli maggiori: il problema non viene del tutto risolto, ma diviene così impossibile raggiungere la porzione di codice fallata.

È importante precisare anche che tale pratica mette al sicuro (non completamente, ma comunque con un fattore di affidabilità accettabile nella maggior parte dei casi) dagli utenti anonimi, ma non da un attacco proveniente da coloro che possiedono credenziali d'accesso valide.

Inoltre, la possibilità di eseguire un Denial of Service parrebbe persistere nonostante il rimedio.

Per quanto riguarda i soli Windows Vista e Windows Server 2008, l'approccio più efficace è quello di aggiornare il servizio FTP di IIS alla versione 7.5: l'aggiornamento è liberamente scaricabile in versione 32 bit oppure 64 bit.

L'alternativa più drastica, ma completamente risolutiva, potrebbe essere quella di rimuovere completamente il servizio FTP da IIS, magari ripiegando su un programma differente per concedere l'accesso agli utenti: una buona alternativa è FileZilla Server: ne ho parlato nell'articolo "Guida completa: come predisporre un server FTP sul proprio PC".

È comunque bene non dimenticare che nessuna versione di Windows per workstation viene distribuita con IIS attivo di default. Inoltre, nemmeno il servizio FTP viene installato come modulo del programma per impostazione predefinita.