Web – Nel suo bollettino numero 40 , il bug hunter Georgi Guninski sostiene che, in particolari condizioni, l’interazione tra il browser Internet Explorer 5.x, Internet Information Server 5.0 ed Exchange 2000 provoca una potenziale falla nei sistemi di sicurezza che utilizzano questi software Microsoft.
“L’accusa” da parte di Guninski, divenuto famoso con le sue scoperte di bachi su Internet Explorer e Netscape Navigator, è rivolta a IE 5.x. Lì sarebbe il baco che per essere sfruttato richiede l’interazione con IIS 5.0 o Exchange.
Guninski descrive così il buco: “Se una pagina web fatta apposta viene visitata da un utente con IE, allora è possibile elencare le directory dei server IIS 5.0 a cui l’utente ha accesso. In certe circostanze è anche possibile leggere l’email dell’utente o le sue cartelline se archiviate su Exchange 2000 server web storage, che sfrutta IIS 5.0. Ed è possibile creare (o probabilmente modificare) i file su Exchange”.
Guninski, che sa bene quanto ogni sua scoperta ottenga l’attenzione dei media di tutto il mondo, spiega di non avere molto tempo a disposizione in questo momento per illustrare nel dettaglio un problema che definisce complesso. Comunque evidenzia come la questione sembra risiedere nella funzione “Microsoft OLE DB Provider for Internet Publishing” (MSDAIPP.DSO).
L’esperto ha spiegato che questa si offre come interfaccia di scripting per accedere e manipolare oggetti su IIS 5.0 o web storage. “Il problema – evidenzia Guninski – è che consente di connettersi anche ad altri server e non solo ai server dai quali la pagina HTML viene caricata”.
“Quel che è peggio – continua Guninski – è che se IIS 5.0 si trova in una ‘Local Intranet zonè, Explorer di default autentica automaticamente l’accesso senza avvertire l’utente”.
Secondo Guninski il problema è grave ma Microsoft, in una lettera che lo stesso bug hunter ha reso nota, sembra proprio non essere d’accordo.
“Apprezzeremmo – avrebbe scritto Microsoft – un qualche dettaglio in più per capire cosa secondo te si può ottenere in quello scenario. Se possibile, quando rendi pubblica la cosa spiega nel dettaglio tutti i parametri, così che la gente non sia spaventata dal solo livello di allarme che tu decidi”.
“Non ci è chiaro – continua l’azienda – che cosa si possa ottenere in questo scenario specialmente in ambienti ristretti dove lo scripting è disabilitato. Visitare siti potenzialmente pericolosi non riguarda bug di sistema e se la zona Intranet, che è garantita, è chiusa, che rischio c’è?”
Guninski ha risposto a questa lettera con un lungo esempio che si conclude con l’invito a disabilitare l’Active Scripting in questi ambienti per evitare rischi che email o cartelline siano “lette” dall’esterno.
Ti potrebbe interessare
30 mar 2001