Vulnerabilidad en IIS permite listar archivos utilizando sus nombres cortos
Secproject ha publicado una nueva técnica para leer archivos y directorios en IIS en base a sus nombres cortos.
Es posible detectar los nombres cortos (formato 8.3) de archivos y directorios equivalentes en sistemas Windows y utilizando el caracter "~", en varias versiones de Microsoft IIS y a través de peticiones GET especialmente formadas para ese objetivo. Es posible detectar todos los nombres cortos de los archivos "Aspx" y la autenticación básica y autenticación de Windows no puede detener este ataque.
Por ejemplo el archivo "http://sitio.com/AcSecret.html" podría ser encontrado utilizando su nombre corto "acsecr~1.htm".
Soroush Dalili, el autor del paper ha escrito un pequeño escáner y ha publicado un video como una prueba de concepto si bien las últimas versiones de IIS y NET Framework 4.0 han sido protegidos contra este ataque.
Productos afectados:
Actualización: dado que es altamente probable que ya nadie llame a los archivos por su nombre corto y mucho menos en un servicio web, estos se pueden desactivar. Para ello se puede crear la siguiente clave en el registro NtfsDisable8dot3NameCreation en HKLM \ System \ CurrentControlSet \ Control \ FileSystem y colocarla en "1". Para más información se puede consular este artículo de Microsoft TechNet.
Cristian de la Redacción de Segu-Info
Es posible detectar los nombres cortos (formato 8.3) de archivos y directorios equivalentes en sistemas Windows y utilizando el caracter "~", en varias versiones de Microsoft IIS y a través de peticiones GET especialmente formadas para ese objetivo. Es posible detectar todos los nombres cortos de los archivos "Aspx" y la autenticación básica y autenticación de Windows no puede detener este ataque.
Por ejemplo el archivo "http://sitio.com/AcSecret.html" podría ser encontrado utilizando su nombre corto "acsecr~1.htm".
Soroush Dalili, el autor del paper ha escrito un pequeño escáner y ha publicado un video como una prueba de concepto si bien las últimas versiones de IIS y NET Framework 4.0 han sido protegidos contra este ataque.
Productos afectados:
- IIS 1.0, Windows NT 3.51
- IIS 2.0, Windows NT 4.0
- IIS 3.0, Windows NT 4.0 Service Pack 2
- IIS 4.0, Windows NT 4.0 Option Pack
- IIS 5.0, Windows 2000
- IIS 5.1, Windows XP Professional and Windows XP Media Center Edition
- IIS 6.0, Windows Server 2003 and Windows XP Professional x64 Edition
- IIS 7.0, Windows Server 2008 and Windows Vista
- IIS 7.5, Windows 7 (error remotely enabled or no web.config)
- IIS 7.5, Windows 2008 (classic pipeline mode)
Actualización: dado que es altamente probable que ya nadie llame a los archivos por su nombre corto y mucho menos en un servicio web, estos se pueden desactivar. Para ello se puede crear la siguiente clave en el registro NtfsDisable8dot3NameCreation en HKLM \ System \ CurrentControlSet \ Control \ FileSystem y colocarla en "1". Para más información se puede consular este artículo de Microsoft TechNet.
Cristian de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!