Все новости от 20 октября 2000 г. Дыру в защите Microsoft IIS скрыть не удалось
Вот уже по крайней мере неделю в онлайновых конференциях обсуждается серьезная дыра в защите веб-сервера Microsoft. Она позволяет злоумышленникам читать и выполнять файлы на веб-сайтах, просто обращаясь к определенному веб-адресу.
Во вторник Microsoft опубликовала бюллетень, посвященный этой проблеме, в котором просит заказчиков залатать свои системы и предупреждает: «Не стоит недооценивать разрушения, которые может произвести злоумышленник».
Ежедневно выявляются десятки пробелов в защите — в большинстве случаев энтузиастами, которые немедленно сообщают о них софтверным компаниям. Однако некоторые проблемы становятся достоянием хакеров и держатся в секрете. Это так называемые дыры zero-day, которые недобросовестные программисты могут использовать, зная, что известной заплатки для них нет.
Проблема, о которой идет речь, открыто обсуждается в кругу хакеров. В субботу, воскресенье и понедельник тысячи представителей службы связи с заказчиками Microsoft связывались с клиентами во всем мире, убеждая их в необходимости немедленно установить заплатку. «Мы говорили им: „Позвоните своим заказчикам, разбудите их, пусть они залатают свои системы — дело очень серьезное”, — рассказывает сотрудник бригады экстренной технической помощи Microsoft Скотт Калп (Scott Culp).
Проблема сервера
Дыра позволяет злоумышленнику, вооруженному единственным URL со специальными символами, получить доступ к любому файлу на веб-сервере. Он может исполнять программы, хотя и не видит паролей администратора. По счастливой случайности заплатка, которую Microsoft выпустила еще в августе, решает и эту проблему. Но многие заказчики так и не установили ее.
Первое упоминание о проблеме появилось 10 октября в анонимном сообщении на хакерской доске объявлений, автор которого утверждал, что он может выполнять команды на веб-серверах под Microsoft, просто добавлив определенную строку в конец веб-адреса. Этим заинтересовался некто Rain Forest Puppy, который в прошлую пятницу привлек к этой проблеме внимание Microsoft.
Специальные символы вскрывают систему
Считается, что веб-сервер Microsoft IIS отвергает запросы к любому файлу, не высвечиваемому на веб-странице. Но, добавив к URL некоторые специальные символы, можно обмануть фильтр, предупреждающий такие запросы. Это позволяет видеть файлы, расположенные на жестком диске, обслуживающем веб-страницы.
По словам Калпа, Microsoft изучала содержание хакерских дискуссий весь уикэнд, но не нашла там точных указаний на то, как пользоваться этой дырой. «Нельзя сказать, как широко распространились эти сведения», — говорит он.
От редакции ZDNet Россия. Распространились они довольно широко. Вчера мы получили два письма от доброжелателей с подробным описанием дыры и приложением полного списка файлов, хранящихся на нашем веб-сервере.
|
|
| Бындю Ион - bandiumaib.md 20 Oct 2000 1:01 PM |
Ай да Microsoft Интересно, UNIX также позволяет легко проникнуть ? |
|
| oleksa - oleksayandex.ru 20 Oct 2000 3:25 PM |
Да, но это же только для IIS 3.3, насколько я понял. В 4.0 уже все нормально |
|
| Антон Яковлев - antonyakovlev.ru 20 Oct 2000 3:57 PM |
"This is a serious vulnerability, and Microsoft recommends that all customers using IIS 4.0 or 5.0 take action immediately to protect their systems." Причем здесь 3.3? |
|
| Shadow 20 Oct 2000 7:06 PM |
2Бындю Ион Неа... Это зависит от того, как настроить :))))))) Люди, привыкшие к Microsoft, понятия не имеют, что есть Posix Regular Expressions - а вот я ими всё и фильтрую нах.... :)))))))) |
|
| Bishop 20 Oct 2000 8:55 PM |
Базар и выеденного яйца не стоит. Нормальный админ должен быть подписан на Microsoft Security Bulletins и ставить вовремя заплаты. Я ее еще в августе поставил... |
|
| Вкуц 21 Oct 2000 5:27 AM |
2 Бындю Ион Позволяет. Фо фрюхе это известная фенечка с Фингером :)))) И в остальных есть... Патчить надо вовремя... |
|
| Chkaloff 21 Oct 2000 1:09 PM |
to Shadow >Неа... Это зависит от того, как настроить :) Это точно. Не от ОС, а от рук. >Люди, привыкшие к Microsoft, понятия не имеют, >что есть Posix Regular Expressions - а вот я ими >всё и фильтрую нах.... Ну совсем не все... Да и люди, привыкшие к UNIX тоже в большинстве своем не понимают элементарных вещей на платформе Windows NT/2000. Из всех написаных вами реплик в обсуждениях всех статей на тему Microsoft. Cоздается впечатление, что вы тоже не белемеса не понимаете в технологиях и особенностях платформы Windows NT/2000, но тем не менее, каждый раз не упускаете случая высказать свое "объективное" мнение на эту тему. Я вообще не флеймер, и вообще редко пишу такие письма. Я допускаю, что вы гениальный Unix программер/администратор. И возможно под вашей опекой находится десятки серверов от линуха до солярки - я не знаю. Но то, что вы смотрите на все технологии Microsoft, как баран на новые ворота, и показываете свою не компетентность в данных вопросах - это смешно. |
|
| REX 21 Oct 2000 6:22 PM |
насколько я осведомлен, речь скорее всего идет о возможности атаки "буфер оверфлов" на стандартные мелкософтовские си-джи-ай скрипты..... Если я правильно понял, то это давно не новость....8)) этой "новости" уже несколько лет...... ....журналистам просто нужна сенсация... |
|
| Shadow 22 Oct 2000 5:28 PM |
2Chkaloff: А там есть технологии? :)))))))))))
|
|
| Hamet 23 Oct 2000 4:08 AM |
Да фишка стара как мир, фильтры и скрипты проставляемые по дефоулту вместе с ИИСом и по большей части неиспользуемые, дырявые. Убивайте всякие каталоги iissamples и пр. А также сампловые фильтра и пр. Нормальный аккуратный человек, даже если он и пользует ИИС, должен знать что у него на нём стоит и всё лишнее - нафиг, потому как всё лишнее всегда и всюду потенциальный источник заразы. Будьте бдительны, товарищи! Кто интересуется списками дырявых скриптов и фильтров шагайте на void.ru - там вам популярно по русски всё обьяснят и научат пользовать. А статейка эта - какой-то бред со стороны ZDNet. Зачем о рядовых событиях писать... Будоражить умы юзверей? P.S. 2Shadow: "...понятия не имеют, что есть Posix Regular Expressions - а вот я ими всё и фильтрую нах...." ты бы базар свой при помощи Posix Regular Expressions фильтровал для начала, умник
|
|
| Путешественник 24 Oct 2000 12:56 AM |
Некрасиво, ребята :(( Зачем же модерить так? Мы не сквернословили, не оскорбляли редакцию или обсуждающих. Просто высказали свое мнение, причем достаточно нейтрально. Или не подставляйте себя с самого начала, или держите удар до конца! А то выходит совсем некрасиво :((( |
|
| kuk - kukirk.ru 24 Oct 2000 3:26 AM |
2Путешественник: Ну как-же! Я достаточно конкретно высказал претензии по поводу работы их админа... За что и поплатился. Видишь, первого моего сообщения-то нет - вырезали. 2All: Где-же гластность-то? Уж если режут сообщения - то какой смысл вообще их сюда писать? Что-тогда за дискуссия получается? К тому же, скорее всего, админ боится, что придадут огласке его неквалифицированную работу. Хотя это и так видно. |
|
| Hamet 24 Oct 2000 6:06 AM |
Админа ZDnet.ru - на мыло. |
|
| crazer - Nikita.Zelenskysevmorgeo.com 24 Oct 2000 1:05 PM |
Забавно это чем то напмнило нашу (российскую) свободу слова:"У нас свобода слова, но говорить можно только то что угодно власти" ещё пара таких вот закидонов и народ уползет от сюдова |
|
| chkaloff 24 Oct 2000 5:16 PM |
To Hamet Тут не совсем так. Да действительно, по умолчанию поставленный IIS позволял используя директорию /scripts запустить cmd.exe. Но если пользователь может занать, где есть еще каталоги, в которых разрешен запус на стороне сервера, то можно использовать эту дыру и через них. Т.е. я хочу сказать, что если убрать с web сервера каталог /scripts (и т.д.) то это дыру не закроет. Я именно об этой дырке, про которую статья написана. |
|
| vasyak - vasyakchat.ru 24 Oct 2000 7:21 PM |
2 chkaloff: Как это не закроет? Закроет. И если не ставить систему на один том с вебом, то ничего у злоумышленника не выйдет. И если каталог InetPub не в корень тома кинуть, а куда-нибуль еще, то тоже не выйдет. И если системный каталог назвать не Winnt, а по-человечески, например W40NT_Rulez_Forever, то тоже облом гадам. Наконец, надо нормально настроить права IUSR. Вещи, в принципе, очевидные, так что если к администрированию относиться не спустя рукава, то все будет ОК. |
|
| chkaloff 25 Oct 2000 12:00 PM |
to vasyak: >И если каталог InetPub не в корень тома кинуть, >а куда-нибуль еще, то тоже не выйдет. Ну если сделать не "..%c0%af..", а так "..%c0%af..%c0%af.." или "..%c0%af..%c0%af..%c0%af.." то можно добраться. Вот, если системый каталог находиться не на том же диске, что и InetPub или называется не Winnt, то тут действительно тяжеловато. >Наконец, надо нормально настроить права IUSR. Дак с этого начинать надо... :-)
|
|
|