La recente vulnerabilità scoperta nel servizio FTP di Internet Information Services (IIS) appare di portata più ampia rispetto a quanto inizialmente previsto. In un aggiornamento al suo advisory di sicurezza relativo al problema, Microsoft ha infatti reso noto che la falla non solo è già stata sfruttata in un circoscritto numero di attacchi, ma interessa anche IIS 7.0, una versione che in precedenza era stata esclusa dai prodotti vulnerabili.
Più nel dettaglio, Microsoft afferma che il bug potrebbe essere sfruttato per eseguire del codice a distanza in IIS 5.0 e per lanciare attacchi di denial of service (DoS) in IIS 5.0, 5.1, 6.0 e 7.0. Va sottolineato come quest’ultimo genere di attacchi non richieda l’accesso in scrittura al sito FTP, necessario invece per innescare l’esecuzione di codice maligno.
Microsoft ribadisce invece che la versione 7.5 del suo celebre webserver è immune al problema. Sebbene tale release sia inclusa in Windows Server 2008 R2 e in Windows 7, sul blog del Microsoft Security Response Center si informa che il servizio FTP 7.5 può essere scaricato anche dagli utenti di Windows Vista e Windows Server 2008 (che includono IIS 7.0).
La debolezza contenuta nel webserver di Microsoft consiste in uno stack overflow nel modulo FTP. Se una installazione di IIS consente l’accesso anonimo al sito FTP, un malintenzionato potrebbe loggarsi nel servizio e creare una directory con un nome generato ad hoc per innescare il bug. Se l’attacco ha successo, l’aggressore è in grado di eseguire del codice con i privilegi di LocalSystem. Secondo quanto riportato da Microsoft, quest’ultimo tipo di attacco funziona però esclusivamente con IIS 5.0: in tutte le altre versioni vulnerabili di IIS è possibile mandare in crash il servizio ma non eseguire del codice.
Nel precedente articolo dedicato alla vulnerabilità si trovano elencate alcune soluzioni temporanee che gli utenti di IIS possono adottare in attesa del rilascio di una patch.
Alessandro Del Rosso