Entradas con la etiqueta ‘iis’

Grave vulnerabilidad en IIS

20 mayo, 2009 | Autor Pablo Garcia

Desde hace unos días, estamos viviendo una especie de desafortunada vuelta a principios de esta década por culpa de un grave fallo de seguridad en Internet Information Server, el servidor web de Microsoft. Se ha descubierto una vulnerabilidad “como las de antes” y, lo peor, aprovechando fallos y problemas que parecían pertenecer ya al pasado, como de otro tiempo. Al parecer, el fallo está disparando el número de “desfiguraciones” (defaces) en servidores web con IIS en los últimos días.

A cualquiera que esté al tanto de las noticias sobre seguridad le sonará que las palabras IIS, WebDAV, unicode y la cabecera “Translate:f” (parte del protocolo WebDAV) son términos que juntos, no han traído nunca nada bueno al servidor de Microsoft en los últimos años. La vulnerabilidad que acaba de ser descubierta combina todos esos elementos. Se ha encontrado un fallo en IIS 6.x a la hora de procesar peticiones http especialmente manipuladas con la cabecera “Translate:f” y con caracteres Unicode. Esto puede permitir a un atacante eludir la autenticación (y subir ficheros si lo permiten los permisos) al disparar un problema de validación en WebDAV.

En esta vulnerabilidad, se repiten muchos de los elementos de vulnerabilidades anteriores de IIS y que se creían ya “olvidados”. El problema se da en IIS 6.0 y anteriores. Las versiones posteriores no se ven afectadas, además de que no traen WebDAV activado por defecto. Por tanto nos encontramos ante un panorama que no recordábamos desde hacía años: una vulnerabilidad directa contra un servidor web (actualmente utilizado, según Netcraft por el 30% de los servidores web) que permite controlar el sistema. Precisamente una mayor concienciación sobre la seguridad, una mejora en la calidad del código, la aplicación de parches de Microsoft (motivada en gran parte por errores como los descritos) y otra serie de factores, hicieron que el objetivo se trasladase bien al cliente (navegadores, lectores de PDF, Flash…), bien a aplicaciones web (principalmente en PHP) pero cada vez menos contra el servidor web en sí.

Microsoft no ha reconocido oficialmente todavía la vulnerabilidad. Se recomienda por tanto deshabilitar WebDAV hasta que exista solución y comprobar los permisos NTFS de los directorios públicos. Existe exploit disponible.

Fuente: hispasec.com

TwitterLinkedInDeliciousMeneameDiggEmailShare
Publicado en nerion networks - 2009 | Etiquetas: , , | No hay comentarios »

nerion informa de ataques a web

2 junio, 2008 | Autor Pablo Garcia

nerion informa de ataques masivos con sitios web basados en programación con lenguaje ASP

En los últimos días se han detectado ataques masivos contra sitios web con el objetivo de manipular su funcionalidad y contenido. Una vez comprometidas, las paginas Web manipuladas redirigirán a sus visitantes a sitios web maliciosos expresamente diseñados para descargar e instalar todo tipo de códigos maliciosos en el ordenador que podrán permitir al atacante su control.

Se trata de ataques de tipo inyección SQL, aprovechando una vulnerabilidad en el Internet Information Server (IIS), provocada por una errónea programación del código ASP (Active Server Pages).

Estos ataques masivos están apoyados en herramientas automáticas con las que logran infectar gran número de sitios web en poco tiempo. El número total de páginas comprometidas a día de hoy ronda los 1’5 millones, aunque muchas de ellas ya han sido o están siendo corregidas.

Recomendamos a todos los webmasters que tengan sus páginas ASP alojadas en servidores IIS comprobar, lo antes posible, si sus páginas web han podido verse afectadas. Un síntoma claro de la infección puede ser la existencia de código javascript externo desconocido y que apunte a alguno de los dominios indicados en el siguiente listado:

-Listado de dominios maliciosos:

http://alerta-antivirus.inteco.es/documentos/ListadoDominios.pdf

De cara a los usuarios finales, para evitar infecciones, aconsejamos seguir las recomendaciones básicas que siempre se deben adoptar ante incidentes de seguridad:

- Utilizar software de seguridad como antivirus, cortafuegos, antiespias, etc.

- Tener actualizadas todas las aplicaciones de nuestro sistema, sobre todo sistema operativo y navegador, con los últimos parches de seguridad.

- Utilizar por defecto cuentas limitadas de usuario -no de administrador- con lo que limitaremos en gran medida los efectos de una posible infección.

Usuarios con conocimientos técnicos más avanzados pueden optar por deshabilitar el javascript en el navegador de manera temporal o instalar alguna extensión, como NoScript que permita tener un control más exhaustivo sobre la ejecución de secuencias de comandos.

En INTECO-CERT se trabaja en la identificación de algunos de los dominios .es que puedan estar afectados por este tipo de ataques. Una vez localizados, contacta con las entidades afectadas para tratar de solucionar este incidente.

TwitterLinkedInDeliciousMeneameDiggEmailShare
Publicado en nerion networks - 2008 | Etiquetas: , , , , , , | No hay comentarios »

Bienvenido al blog de nerion

nerion es una de las principales empresas españolas de registro de dominios, hosting y housing profesional con certificaciones de calidad y seguridad.
Siguenos en Twitter Siguenos en Facebook Siguenos en Linkedin Siguenos en YouTube Siguenos en Flickr Siguenos en Foursquare
Twitter
nerion en Facebook
Ofertas nerion

Hosting Alojamiento Web nerion
Certificados SSL Productos Seguridad nerion