(Por El Microsaurio) Lo lamento, queridos admin. Otra vez un hacker se tomó el trabajo de revisar el código de Microsoft IIS para encontrar un agujero. Esta vez el molesto de turno es Nikolaos Rangos, más conocido por King Cope 2. Según un mensaje de la semana pasada, “…hay una vulnerabilidad que permite a los atacantes externos al server sobrepasar las restricciones e ingresar sin necesidad de autenticación (…) la falla específica existe dentro de la función WebDav de IIS 6.0 (…) el servidor web falla en el manejo de los caracteres Unicode cuando está procesando un URI y se prepara a enviar su respuesta…”
Más interesante es el resultado de un ataque exitoso, según lo describe King Cope: “…primero, el servidor IIS contesta enviando un listado del directorio, sin pedir previamente un password; luego, se permite la descarga y la subida al servidor de los archivos que el atacante desee, de nuevo sin pedir password…”
Realmente encantador. Si estás administrando un sistema de estos, lo lamento. Claro, el IIS 7 es más nuevo, pero el otro, el más viejito, de los tiempos del Windows Server 2003, está instalado en tantos servidores… Fijate vos, entre el 6 y el 7 tienen el 29% de los websites de la Internet, según dice don Netcraft.
¿Porqué escribí “lo lamento”? Pues por dos razones, chaval: una, que no hay parche; dos, que al sábado pasado unas 3400 personas habían descargado el material con los detalles que indican cómo realizar el ataque. Muy interesante el consejo de Daniel Wesseman, administrador de turno en el Internet Storm Center de SANS: “…les conviene detener el servicio WebDav hasta tener más información…”. Si lo dice esta gente, por algo ha de ser.
Que te sea leve.