4 jul 2012

Vulnerabilidad en IIS permite listar archivos utilizando sus nombres cortos

Secproject ha publicado una nueva técnica para leer archivos y directorios en IIS en base a sus nombres cortos.

Es posible detectar los nombres cortos (formato 8.3) de archivos y directorios equivalentes en sistemas Windows y utilizando el caracter "~", en varias versiones de Microsoft IIS y a través de peticiones GET especialmente formadas para ese objetivo. Es posible detectar todos los nombres cortos de los archivos "Aspx" y la autenticación básica y autenticación de Windows no puede detener este ataque.

Por ejemplo el archivo "http://sitio.com/AcSecret.html" podría ser encontrado utilizando su nombre corto "acsecr~1.htm".

Soroush Dalili, el autor del paper ha escrito un pequeño escáner y ha publicado un video como una prueba de concepto si bien las últimas versiones de IIS y NET Framework 4.0 han sido protegidos contra este ataque.

Productos afectados:
  • IIS 1.0, Windows NT 3.51
  • IIS 2.0, Windows NT 4.0
  • IIS 3.0, Windows NT 4.0 Service Pack 2
  • IIS 4.0, Windows NT 4.0 Option Pack
  • IIS 5.0, Windows 2000
  • IIS 5.1, Windows XP Professional and Windows XP Media Center Edition
  • IIS 6.0, Windows Server 2003 and Windows XP Professional x64 Edition
  • IIS 7.0, Windows Server 2008 and Windows Vista
  • IIS 7.5, Windows 7 (error remotely enabled or no web.config)
  • IIS 7.5, Windows 2008 (classic pipeline mode)
Todavía no hay una solución oficial y se recomienda el uso de WAF para descartar peticiones web que incluyan el caracter "~".

Actualización: dado que es altamente probable que ya nadie llame a los archivos por su nombre corto y mucho menos en un servicio web, estos se pueden desactivar. Para ello se puede crear la siguiente clave en el registro NtfsDisable8dot3NameCreation en HKLM \ System \ CurrentControlSet \ Control \ FileSystem y colocarla en "1". Para más información se puede consular este artículo de Microsoft TechNet.

Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!