Hacker buit zwakte in serversoftware uit
Programmaatje om in W2000 server in te breken
04 mei 2001 | Jasper Koning
Een hacker die zichzelf Dark Spyrit noemt heeft een programma ontwikkeld, waarmee ook mensen zonder al te veel technische kennis een server in handen kunnen krijgen die draait op Windows 2000 en versie 5 van de Internet Information Server websoftware van Microsoft.
Het programma heet 'jill.c' en maakt gebruik van de kwetsbaarheid in versie 5 van de Internet Information Server (IIS) die Microsoft eerder deze week bekend maakte. Daardoor kan een hacker de hele server in handen krijgen. Hoewel het programma niet helemaal voor de beginnende gebruiker is bedoeld, kan het wel een nieuwe impuls geven aan de verwachte online hooligan activiteiten die deze week worden verwacht van Amerikaanse en Chinese hackers.
Marc Maiffret, de baas van de hackafdeling van het beveiligingsbedrijf eEye Digital Security, denkt dat het programmaatje nog wel wat te ingewikkeld is voor de online vandalen. "De code vereist een stap extra dan een heleboel scripts, maar het is geen moeilijke stap", zegt Maiffret, die de code van Dark Spyrit heeft geanalyseerd. Het ontwerp kan volgens hem firewalls voor de gek houden door zich voor te doen als een webserver.
De meeste webservers gebruiken een specifieke verbinding, of 'poort' om gegevens naar een browser te verzenden. Omdat webverkeer meestal noodzakelijk wordt geacht voor de meeste bedrijven, zijn de gegevens bijna nooit afgeschermd door een firewall. "De meeste firewalls zijn niet zo zorgvuldig in de poorten waarmee een website verbinding mag maken", zegt Maiffret.
Afgelopen dinsdag gaf Microsoft toe dat een fout in de internet printmodule, die onderdeel uitmaakt van Windows 2000, een aanvaller in staat kan stellen om in servers in te breken die gebruiken maken van IIS 5.0. Alleen servers die internetprinten aan hebben staan, zijn kwetsbaar. Door een speciale string karakters te sturen kan de printmodule worden gebruikt om volledige toegang te krijgen tot een webserver. De code van jill.c automatiseert dat proces en geeft de aanval een systeem command prompt.
De code komt niet als een verrassing voor Microsoft. "Klanten die de patch hebben toegepast, hoeven zich nergens zorgen over te maken", zegt het bedrijf in een verklaring. "Klanten die de patch nog niet hebben toegepast moeten dit als een waarschuwing beschouwen en het alsnog directdoen."
Lees meer artikels over :
iis, hack, microsoft
bron: ZDNet
