I server su cui girano vecchie versioni di Microsoft IIS (Internet Information Services) con il servizio FTP attivato potrebbero correre grossi rischi. Sul sito web Milw0rm è infatti stato pubblicato il codice di un exploit potenzialmente sfruttabile per prendere il pieno controllo di un server remoto.
Va subito precisato che secondo lo scopritore della falla, un hacker noto come Kingcope , la piena efficacia dell’exploit è stata verificata con il demone FTP incluso in IIS 5.0 e 6.0. La versione 5.0 del webserver di Microsoft venne rilasciata quasi una decade fa insieme a Windows 2000, ed oggi i siti web di una certa importanza che ancora la utilizzano sono davvero molto pochi. La versione 6.0, inclusa in Windows Server 2003 e Windows XP Professional x64 Edition, è invece ancora molto diffusa.
Nelle scorse ore Microsoft ha pubblicato un advisory in cui ha confermato l’esistenza del problema e ha spiegato che questo è causato da uno stack buffer overflow nel servizio FTP: la falla può essere innescata da un nome di directory particolarmente lungo e contenente certi caratteri, e se sfruttata con successo fornisce all’aggressore i privilegi con cui gira il demone FTP, generalmente quelli di Local System. Le versioni 7.0 (Windows Server 2008 e Windows Vista) e 7.5 (Windows Server 2008 R2 e Windows 7) di IIS vengono invece definite immuni al problema.
Una sintesi delle informazioni relative al bug è stata fornita in questo post da Feliciano Intini, chief security advisor di Microsoft Italia, che sottolinea come la falla possa essere sfruttata solo sui sistemi in cui sia attivo il servizio FTP e sia permessa la creazione di directory sul server.
“Se questi due fattori sono verificati allora un utente (autenticato o meno a seconda che sul servizio FTP sia disabilitato o meno l’accesso anonimo) che ha accesso al servizio FTP può tentare di sfruttare con successo la vulnerabilità”, scrive Intini sul suo blog . “A prima vista i sistemi più esposti sono quelli che utilizzano Windows 2000, dove di default il servizio FTP attivo, anche se, sempre nella configurazione di default, non è permesso l’accesso in scrittura. L’installazione di FTP su Windows XP non dovrebbe risultare prassi comune. Infine su Windows Server 2003 il rischio è mitigato dalla compilazione del prodotto tramite l’opzione /GS, che protegge dall’exploit tramite l’interruzione del servizio FTP nel momento in cui il sistema è soggetto all’overflow causato dall’attacco”.
In attesa del rilascio di una patch, Intini suggerisce di applicare uno dei seguenti workaround: disattivare il servizio FTP; negare i permessi di creazione delle directory sulla root del sito FTP; oppure disattivare del tutto l’accesso in scrittura al sito FTP. La seconda opzione è la più mirata e meno drastica di tutte, preferibile nel caso le altre condizionassero troppo le normali attività del proprio servizio FTP.
In questo post del Sourcefire Vulnerability Research Team si afferma che Snort , un celebre sistema open source di intrusion prevention and detection, è in grado di rilevare il problema di sicurezza segnalato da Kingcope da almeno 5 anni. Nel post si trovano le regole da applicare a Snort per proteggere i server vulnerabili dalla debolezza.
Sebbene il supporto mainstream a IIS 5.0 sia scaduto nel 2005, il supporto esteso, che tra le altre cose prevede il rilascio degli update di sicurezza, rimane valido fino al luglio del 2010.
Alessandro Del Rosso