微軟IIS互聯網信息服務發現嚴重安全漏洞
一位研究人員發現最新版本的微軟互聯網信息服務中有一個安全漏洞,能夠讓攻擊者在運行這個流程的Web服務的計算機上執行惡意代碼。
據研究人員Soroush Dalili說,這個安全漏洞存在于互聯網信息服務解析代冒號或者分號的文件名的方式中。許多Web應用程序設置為拒絕包含可執行文件的文件夾,如活躍的服務器網頁,這些可執行文件的擴展名通常是“.ASP”。通過把“;.jpg”或者其它有益的文件擴展名附加到一個惡意文件,攻擊者就能夠繞過過濾器并且有可能欺騙服務器運行這個惡意軟件。
對于這個安全漏洞似乎還存在一些分歧。 Dalili說,這個安全漏洞影響到所有版本的互聯網信息服務。雖然他把這個安全漏洞列為“非常嚴重”等級的安全漏洞,但是,安全漏洞跟蹤公司 Secunia把它分類為“不太嚴重”的安全漏洞。這是這家公司安全漏洞五個等級之中的第二級。
Dalili說,這個安全漏洞的影響是絕對高的,因為攻擊者通過在“.asp”、“.cer”、“asa”等可執行文件擴展名后面使用一個分號就能夠繞過文件擴展名保護措施。由于互聯網信息服務的這個弱點,許多Web應用程序都容易受到文件上載的攻擊。
Dalili 介紹了這種攻擊的情形。他說,假如一個網站僅接受JPG文件作為用戶的頭像,用戶可以向這個服務器上載自己的頭像。現在,攻擊者可以向這個服務器上載 “Avatar.asp;.jpg”文件。Web應用程序把這個文件看作是一個JPG文件。因此,這個文件就允許上載到這個服務器。但是,當攻擊者打開這個上載的文件的時候,互聯網信息服務就認為這個文件是一個ASP文件并且設法使用“asp.dll”運行這個文件。
Dalili說,因此,攻擊者使用這種方法能夠向服務器上載一個Web外殼。大多數上載程序只能控制文件的最后部分作為其擴展名。通過使用這種方法,他們的保護措施就被繞過了。
Secunia沒有解釋它的評估結論是如果做出的。但是,這家公司證實這個安全漏洞存在于運行完全使用補丁的帶微軟互聯網安全服務第六版的Windows Server 2003 R2 SP2操作系統的機器中。
微軟發言人稱,微軟研究人員正在對這個報告展開調查。微軟目前還不知道針對這個報告的安全漏洞實施的攻擊。
51CTO王文文:很早的時候Windows2003爆過一個“bug”,只要你上傳的webshell是在.asp結尾的目錄中,那無論你上傳的是不是.asp后綴的文件,它都會解析成asp。但奇怪的是,微軟很長時間都沒修復這個“bug”。現在又出了這么一個類似的“bug”,卻被稱為嚴重漏洞了。不知道這次微軟會不會為其發補丁呢?期待2010年新年的第一個周二補丁日。
【編輯推薦】
