19-05-2009

Detectada una greu resolució de seguretat en Internet Information Server, el servidor web de Microsoft, que aprofita resolucions i problemes que se suposaven resolts.

Sistemes afectats:

Microsoft Internet Information Services (IIS) 5.0
Microsoft Internet Information Services (IIS) 5.1
Microsoft Internet Information Services (IIS) 6

Risc:   Alt

Descripció:

Microsoft afirma estar investigant una vulnerabilitat que afecta Internet Information Services (IIS) i que està relacionada amb un error de salt de privilegis en la manera en què l'extensió WebDAV per a IIS, processa peticions HTTP.

Un atacant podria explotar la vulnerabilitat i generar una petició HTTP anònima que haja sigut manipulada per a obtindre accés a una zona que requerisca autenticació.

Hispasec afirma que hi ha un exploit per a aquesta fallada, a pesar que per ara Microsoft no ho ha confirmat.

Solució:

Es recomana deshabilitar WebDAV seguint les indicacions de l'avís de seguretat de Microsoft fins que hi haja solució i comprovar els permisos NTFS ACL dels directoris públics.

Referències:

CVE-2009-1535

Més informació:

http://www.microsoft.com/technet/security/advisory/971492.mspx
http://www.hispasec.com/unaaldia/3858/

Font:   Microsoft www.microsoft.com