Microsoft ontkent IIS-probleem

Alleen slecht geconfigureerde webservers worden misleid

31 december 2009 | Pieterjan Van Leemputten

Microsoft ontkent dat er een nieuw lek zit in IIS 6. Volgens het softwarebedrijf valt de software te misleiden, maar ligt de schuld bij slecht beveiligde webservers.

IIS is een verzameling van serverdiensten voor Windows. Eind vorige week omschreef securityonderzoeker Soroush Dalili in een rapport het probleem als “zeer kritiek voor webapplicaties”.

Volgens het rapport kan IIS uitvoerbare extensies openen wanneer ze in een URL worden vermeld en worden gescheiden met een puntkomma. Dat terwijl er bij controle enkel naar de extensie op het einde wordt gekeken.

Zo zou een link naar het bestand infectie.asp;.jpg worden gedetecteerd als een fotobestand (JPEG), terwijl het wordt uitgevoerd als ASP (Active Server Page). Dat kan ervoor zorgen dat gebruikers een server hacken door een specifiek bestand te uploaden.

Volgens het rapport, dat tests uitvoerde bij populaire webapplicaties in de zomer van 2008, werd zeventig procent van de bestandsuploaders misleid met deze truc. Het probleem heeft wel alleen impact op IIS 6. Versie 7.5 heeft het probleem niet en versie 7 werd nog niet getest.

Slecht geconfigureerde webservers
In een blogbericht zegt Microsoft dat er binnen IIS een ongelijkmatigheid is in de afhandeling van puntkomma's. Maar het voegt daaraan toe dat alleen onveilig uitgerolde webservers risico lopen.

“Als het scenario wil werken, moet de IIS-server reeds geconfigureerd zijn om zowel schrijf- als uitvoeringsrechten te hebben in dezelfde map. Dit is niet de standaardconfiguratie van IIS en gaat in tegen al onze normen.” Aldus het blogbericht.

Volgens Microsoft hoeven gebruikers die IIS 6 standaard gebruiken, of Microsofts aanbevolen instellingen volgen, zich geen zorgen te maken. Anderen kunnen het best controleren of er aanpassingen mogelijk zijn om de veiligheid te verbeteren.

Lees meer artikels over : beveiliging, microsoft, iis, webserver

bron: ZDNet