Chỗ bị tổn thương của MS IIS làm cho người dùng bị mở với cuộc tấn công từ xa

MicrosoftIIS vuln leaves users open to remote attack

Beware of the 'semicolonbug'

By Dan Goodin in SanFrancisco • Get more f-rom this author

Posted in EnterpriseSecurity, 25th December 2009 01:03 GMT

Theo:http://www.theregister.co.uk/2009/12/25/microsoft_iis_semicolon_bug/

Bài được đưa lênInternet ngày: 25/12/2009

Lờingười dịch: Lỗi trong máy chủ web IIS của Microsoft cóliên quan tới phần mở rộng của tệp khi tải lên máychủ web IIS của Microsoft, mà nó có thể làm cho IIS hiểunhầm và cho phép chạy tệp thực thi của bọn tội phạmkhông gian mạng, gây nguy hiểm cho máy tính của người sửdụng.

Cập nhật: Một nhànghiên cứu đã xác định được chỗ bị tổn thươngtrong phiên bản gần đây nhất của Microsoft InternetInformation Services mà nó cho phép những kẻ tấn công chạymã độc trên các máy tính chạy máy chủ web phổ biếnnày.

Lỗi này phát sinh từcách mà IIS dịch các tên tệp với dấu : và dấu ; trongchúng, theo nhà nghiên cứu Soroush Dalili. Nhiều ứng dụngweb được cấu hình để từ chối sự tải lên mà chứacác tệp thi hành, như các trang máy chủ tích cực (activeserver page), mà nó thường mang phần mở rộng là “.asp”.Bằng việc nối thêm “;.jpg” haowcj các mở rộng tệpkhác bắt đầu đối với một tệp độc hại, những kẻtấn công có thể vượt qua được những bộ lọc nhưvậy và lừa mẹo một máy chủ chạy phần mềm độchại.

Dường như sẽ cómột vài sự không đồng tình về tính nghiêm trọng củalỗi này, mà Dalili đã nói ảnh hưởng tới tất cả cácphiên bản của IIS. Trong khi ông đã xếp hạng nó là“mang tính sống còn ở mức cao”, thì nhà theo dõi tínhdễ bị tổn thương Secunia lại xếp nó vào loại “ítmang tính sống còn”, mà nó chỉ ở mức độ 2 trong phạmvi xếp hạng nghiêm trọng 5 mức.

“Ảnh hưởng củachỗ bị tổn thương này là đặc biệt cao khi một kẻtấn công có thể vượt qua được những bảo vệ mởrộng tệp bằng việc sử dụng một dấu ; sau một mởrộng tệp thi hành như là '.asp', '.cer', '.asa' và vân vân”,Dalili viết. “Nhiều ứng dụng web có thể bị tổnthương đối lại các cuộc tấn công tải lên các tệpvì sự yếu kém này của IIS”. Trong một thư điện tửgửi cho El Reg, Dalili đã đưa ra kịch bản tấn công sauđây:

“Giả thiết mộtwebsite mà nó chỉ chấp nhận các tệp JPG như là các tệpcủa người sử dụng. Và người sử dụng có thể tảilên các tệp của họ lên máy chủ. Bây giờ một kẻ tấncông cố gắng tải “Avatar.asp;.jpg” lên máy chủ. Ứngdụng web coi tệp này như là một tệp JPG. Vì thế tệpnày có quyền để được tải lên máy chủ. Nhưng khi kẻtấn công mở tệp tải lên này, thì IIS coi tệp này nhưmột tệp ASP và cố gắng thực thi nó bằng 'asp.dll'”.

Up-datedA researcher has identified a vulnerability in the most recentversion of Microsoft's Internet Information Services that allowsattackers to execute malicious code on machines running the popularwebserver.

Thebug stems f-rom the way IIS parses file names with colons orsemicolons in them, according to researcher Soroush Dalili. Many webapplications are configured to reject uploads that contain executablefiles, such as active server pages, which often carry the extension".asp." By appending ";.jpg" or other benign fileextensions to a malicious file, attackers can bypass such filters andpotentially trick a server into running the malware.

Thereappears to be some disagreement over the severity of the bug, whichDalili said affects all versions of IIS. While he rated it "highlycritical," vulnerability tracker Secunia classified it as "lesscritical," which is only the second notch on its five-tierseverity rating scale.

"Impactof this vulnerability is absolutely high as an attacker can bypassfile extension protections by using a semicolon after an executableextension such as '.asp,' '.cer,' '.asa' and so on," Daliliwrote. "Many web applications are vulnerable against fileuploading attacks because of this weakness of IIS."

Inan email to El Reg, Dalili offered the following attack scenario:

"Assumea website which only accepts JPG files as the users’ avatars. Andthe users can upload their avatars on the server. Now an attackertries to upload "Avatar.asp;.jpg" on the server. Webapplication considers this file as a JPG file. So, this file has thepermission to be uploaded on the server. But when the attacker opensthe uploaded file, IIS considers this file as an ASP file and triesto execute it by 'asp.dll.'

“Vì thế, kẻ tấncông có thể tải lên một vỏ web lên máy chủ bằng việcsử dụng phương pháp này. Hầu hết các tệp tải lênchỉ kiểm soát phần cuối của các tệp như những phầnmở rộng của chúng, và bằng việc sử dụng phương phápnày, sự bảo vệ của chúng sẽ bị vượt qua”.

Secunia đã không giảithích làm cách nào hãng đã đi tới định ước này,nhưng hãn đã khẳng định lỗi này trên một máy chạymột phiên bản được vá đầy đủ của Windows Server2003 R2 SP2 với Microsoft IIS phiên bản 6.

Một nữ phát ngônviên của Microsoft nói các nhà nghiên cứu của hãng đangđiều tra báo cáo này. Họ không thừa nhận về các cuộctấn công hướng mục tiêu vào chỗ bị tổn thương đãđược nói tới, bà nói.

Thiếu bất kỳ chỉdẫn chính thức nào, các quản trị web mà muốn khắpphục vấn đề tiềm tàng này phải chắc chắn rằng cácthư mục tải lên không có các quyền thực thi. Và cáclập trình viên web phải đảm bảo các ứng dụng của họkhông bao giờ chấp nhận đầu vào của người sử dụngnhư một tên tệp.

"So,the attacker can upload a web-shell on the server by using thismethod. Most of the uploaders only control the last part of the filesas their extensions, and by using this method, their protection willbe bypassed."

Secuniadidn't explain how it arrived at its assessment, but it did confirmthe bug on a machine running a fully patched version of WindowsServer 2003 R2 SP2 with Microsoft IIS version 6.

AMicrosoft spokeswoman said company researchers are investigating thereport. They are not aware of attacks targeting the reportedvulnerability, she said.

Inthe absence of any official guidance, webmasters who want toworkaround the potential problem should make sure that uploaddirectories don't have execute permissions. And web developers shouldensure their applications never accept the user's input as a filename.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com