C'è un buco nell'FTP di Microsoft IIS

Uno smanettone ha pubblicato il codice di un exploit consentirebbe di prendere il controllo di un server su cui giri una vecchia versione di Internet Information Services con l'FTP attivo. Microsoft conferma

Roma – I server su cui girano vecchie versioni di Microsoft IIS (Internet Information Services) con il servizio FTP attivato potrebbero correre grossi rischi. Sul sito web Milw0rm è infatti stato pubblicato il codice di un exploit potenzialmente sfruttabile per prendere il pieno controllo di un server remoto.

Va subito precisato che secondo lo scopritore della falla, un hacker noto come Kingcope , la piena efficacia dell’exploit è stata verificata con il demone FTP incluso in IIS 5.0 e 6.0. La versione 5.0 del webserver di Microsoft venne rilasciata quasi una decade fa insieme a Windows 2000, ed oggi i siti web di una certa importanza che ancora la utilizzano sono davvero molto pochi. La versione 6.0, inclusa in Windows Server 2003 e Windows XP Professional x64 Edition, è invece ancora molto diffusa.

Nelle scorse ore Microsoft ha pubblicato un advisory in cui ha confermato l’esistenza del problema e ha spiegato che questo è causato da uno stack buffer overflow nel servizio FTP: la falla può essere innescata da un nome di directory particolarmente lungo e contenente certi caratteri, e se sfruttata con successo fornisce all’aggressore i privilegi con cui gira il demone FTP, generalmente quelli di Local System. Le versioni 7.0 (Windows Server 2008 e Windows Vista) e 7.5 (Windows Server 2008 R2 e Windows 7) di IIS vengono invece definite immuni al problema.

Una sintesi delle informazioni relative al bug è stata fornita in questo post da Feliciano Intini, chief security advisor di Microsoft Italia, che sottolinea come la falla possa essere sfruttata solo sui sistemi in cui sia attivo il servizio FTP e sia permessa la creazione di directory sul server.

“Se questi due fattori sono verificati allora un utente (autenticato o meno a seconda che sul servizio FTP sia disabilitato o meno l’accesso anonimo) che ha accesso al servizio FTP può tentare di sfruttare con successo la vulnerabilità”, scrive Intini sul suo blog . “A prima vista i sistemi più esposti sono quelli che utilizzano Windows 2000, dove di default il servizio FTP attivo, anche se, sempre nella configurazione di default, non è permesso l’accesso in scrittura. L’installazione di FTP su Windows XP non dovrebbe risultare prassi comune. Infine su Windows Server 2003 il rischio è mitigato dalla compilazione del prodotto tramite l’opzione /GS, che protegge dall’exploit tramite l’interruzione del servizio FTP nel momento in cui il sistema è soggetto all’overflow causato dall’attacco”.

In attesa del rilascio di una patch, Intini suggerisce di applicare uno dei seguenti workaround: disattivare il servizio FTP; negare i permessi di creazione delle directory sulla root del sito FTP; oppure disattivare del tutto l’accesso in scrittura al sito FTP. La seconda opzione è la più mirata e meno drastica di tutte, preferibile nel caso le altre condizionassero troppo le normali attività del proprio servizio FTP.

In questo post del Sourcefire Vulnerability Research Team si afferma che Snort , un celebre sistema open source di intrusion prevention and detection, è in grado di rilevare il problema di sicurezza segnalato da Kingcope da almeno 5 anni. Nel post si trovano le regole da applicare a Snort per proteggere i server vulnerabili dalla debolezza.

Sebbene il supporto mainstream a IIS 5.0 sia scaduto nel 2005, il supporto esteso, che tra le altre cose prevede il rilascio degli update di sicurezza, rimane valido fino al luglio del 2010.

Alessandro Del Rosso

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • nomen omen scrive:
    Ammazza
    Non sarete un po' alla canna per fare articoli su simili cavolate?
  • Luca scrive:
    mamma mia....
    mamma mia ma che rompic**l*o*i che girano......state sempre a lamentarvi di tutto quanto venga scriva...ma apritevi un blog vostro trogloditi!ahhauhaha
    • Luca scrive:
      Re: mamma mia....
      - Scritto da: Luca
      mamma mia ma che rompic**l*o*i che
      girano......state sempre a lamentarvi di tutto
      quanto venga scriva...ma apritevi un blog vostro
      trogloditi!ahhauhahavenga scriva..... :) venga SCRITTO :D
  • cognome scrive:
    E' vecchia
    Questa lampada esiste da almeno 2 anni, probabilmente tre...
  • danieleds scrive:
    la lampadina
    è a basso consumo o no? :P
  • Pesciolina scrive:
    Errore di calendario
    Buffa sta notizia... ma a PI siete sicuri di non avere confuso il 1 settembre con il 1 aprile?
  • DeathCat scrive:
    lo compro iooooooooooo
    lo compro iooooooooooo...però poi ci incollo sopra la foto del mio capoooooooooooo (skerzo eh!)
  • Fantasy scrive:
    Fantasy
    Veramente riduttivo e offensivo accostare il genere fantasy all' "oscuro mondo del macabro, dell'arcano e del proibito" e a "tristi figuri" che "amano nascondersi dalla luce diretta dietro lunghe frange".In genere chi scrive articoli e li pubblica dovrebbe fare attenzione a ciò che si afferma...
  • iced scrive:
    Meglio se controllate anche le notizie.
    Come da oggetto."La redazione con i controlli a campione si riserva di cancellare qualsiasi contenuto ingiurioso, volgare, illegale o contrario alla policy."
  • Putacaso scrive:
    Ma che c'azzecca???
    Cosa ha in comune tale notizia con gli argomenti trattati di solito da Punto Informatico???
  • cippa lippa scrive:
    meno male il fantoccio e' bianco..
    altrimenti sarebbe gia' un caso politico..
    • Ilvio scrive:
      Re: meno male il fantoccio e' bianco..
      - Scritto da: cippa lippa
      altrimenti sarebbe gia' un caso politico..Si può sempre comprarlo bianco e "abbronzarlo". Sarebbe lo scellerato gesto di un singolo, non certo un'inesistente deriva razzista paventata ad arte e con inconfessabili secondi fini dai pedogiornali del pedoclero! (idea) :D
  • 999 scrive:
    io la comprerei
    come da oggetto.
  • chattambulo scrive:
    Ma vi sembra il caso???
    Ma vi sembra il caso di riportare notizie come queste??? Vergogna... un tempo questo sito era il regno della tecnologia, ora delle lampade impiccate... Complimenti!!!
    • MarcoA scrive:
      Re: Ma vi sembra il caso???
      PI dovrebbe occuparsi di altro che recensire lampadari, soprattutto se di tale cattivo gusto.
      • Pinco Pallino 2 scrive:
        Re: Ma vi sembra il caso???
        A me pare un'idea 'brillante'. Sinceramente me la comprerei, se non costasse uno sproposito. Non mi piacciono i lampadari, ma la lampadina nuda fa tristezza: in questo modo hai la lampada nuda, ma con un interessante portalampada. I gusti sono personali, nel mio caso non la trovo affatto di cattivo gusto. Sarebbe di cattivo gusto regalarla a qualcuno che ha avuto un parente morto impiccato, ma visto che non è il mio caso, non vedo perchè IO non dovrei poterla comperare e/o leggere un articolo in proposito.- Scritto da: MarcoA
        PI dovrebbe occuparsi di altro che recensire
        lampadari, soprattutto se di tale cattivo
        gusto.
        • MarcoA scrive:
          Re: Ma vi sembra il caso???
          - Scritto da: Pinco Pallino 2
          [...] non vedo perchè IO non dovrei poterla comperare e/o
          leggere un articolo in proposito.Per quanto "de gustibus non disputandum", la mia personale opinione è che una rivista che si chiami "punto informatico" debba parlare di _informatica_, e non gingillarsi con queste sciocchezze.
    • Luca Annunziata scrive:
      Re: Ma vi sembra il caso???
      È un articolo di Pi Gadget.Sottotitolo: ma chi li compra? :);)L
Chiudi i commenti