Desbordamiento de búfer en IIS

Fuente: Hispasec

Existe una importante vulnerabilidad en el componente WebDAV del servidor web de Internet Information Server (IIS) de Microsoft. Esta vulnerabilidad se considera crítica ya que permite la ejecución de código arbitrario en el servidor. Además se tiene constancia que está siendo activamente explotada, por lo que se hace necesaria una actuación inmediata por parte de los administradores de servidores vulnerables.

WebDAV (World Wide Web Distributed Authoring and Versioning) es una extensión del protocolo HTTP versión 1.1, descrita en el RFC 2518, que proporciona un estándar para la edición y administración de archivos entre ordenadores vía Internet.

Se ha descubierto la existencia de una vulnerabilidad de seguridad en un componente de Windows utilizado por WebDAV, provocada por la existencia de búfer sin analizar. WebDAV es un componente incluido en la instalación por defecto de IIS.

La vulnerabilidad puede ser aprovechada por un atacante remoto mediante el envío de una petición HTTP especialmente construida a una máquina que ejecute Internet Information Server (IIS). La petición podrá provocar la caída del servidor o incluso la ejecución del código enviado por el atacante. El código se ejecutará en el contexto de seguridad del servicio IIS (por defecto, LocalSystem).

Como la vulnerabilidad es fácilmente explotable, es de prever que en breve aparecerán gusanos con capacidad de autopropagación que hagan uso de esta vulnerabilidad.

El problema de seguridad afecta a IIS 5.0 cuando se ejecuta en cualquier versión de Windows 2000 (Service Pack 3 inclusive). Las instalaciones de IIS en Windows XP o Windows Server 2003 no están afectadas.

Microsoft publica una actualización para evitar este problema, disponible en:

http://microsoft.com/downloads/details.aspx?FamilyId=C9A38D45-5145-4844-B62E -C69D32AC929B&displaylang=en

Esta actualización sólo puede instalarse en equipos Windows 2000 donde se haya aplicado el Service Pack 2 ó 3. La versión 4.0 de IIS no instala WebDAV en la configuración por defecto.

En el caso de que no sea posible aplicar de inmediato la actualización, debido a la gravedad de la vulnerabilidad y a la existencia de exploits que se aprovechan de esta vulnerabilidad, existen una serie de medidas temporales:

En aquellas máquinas que no se utilice el IIS, es conveniente deshabilitarlo. La versión 5.0 de ISS puede deshabilitarse a través del panel de control Añadir/Quitar programas.

• Si la máquina debe ejecutar IIS, es conveniente verificar la configuración del mismo. Microsoft ofrece una herramienta, IIS Lockdown que fortalece la configuración del servidor.



• Valorar la posibilidad de instalar URLScan, una herramienta de Microsoft que permite bloquear las peticiones contra el servidor utilizadas para explotar esta vulnerabilidad.



• Para aquellos administradores que no puedan utilizar el IIS Lockdown o URLScan, Microsoft facilita una tercera herramienta (URL Buffer Size Registry Tool 1.0) que permite restringir el tamaño del búfer utilizado por IIS para recibir las peticiones que pueden utilizarse para explotar esta vulnerabilidad).



• Si nuestro servidor web no utiliza los servicios WebDAV, es preciso deshabilitarlo. En el apartado de más información se facilita el enlace a un boletín de Microsoft que explica como deshabilitar este soporte.

Debido a la importancia del problema y a la existencia de exploits, la recomendación que hacemos desde Hispasec es que todos los administradores de servidores IIS den la máxima prioridad a solucionar este problema. De esta forma no sólo se evitará que sus máquinas puedan verse comprometidas, sino que se actuará como buenos ciudadanos de Internet evitando que futuros gusanos puedan tener una incidencia global en la red.

Más información:

Microsoft Security Bulletin MS03-007 Unchecked Buffer in Windows Component Could Cause Web Server Compromise
http://www.microsoft.com/security/bulletin/MS03-007.asp

Unchecked Buffer in Windows Component May Cause Web Server Compromise
http://support.microsoft.com/default.aspx?scid=kb;en-us;815021

Aviso del CERT CA-2003-09
Buffer Overflow in Microsoft IIS 5.0
http://www.cert.org/advisories/CA-2003-09.html

Microsoft IIS WebDAV Remote Compromise Vulnerability
http://www.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=22029

How to disable WebDAV for IIS 5.0
http://support.microsoft.com/default.aspx?scid=kb;EN-US;241520

HTTP extensions for Distributed Authoring - WEBDAV
ftp://ftp.rfc-editor.org/in-notes/rfc2518.txt

IIS Lockdown
http://www.microsoft.com/technet/security/tools/locktool.asp

URLScan
http://www.microsoft.com/technet/security/URLScan.asp

URL Buffer Size Registry Tool 1.0
http://microsoft.com/downloads/details.aspx?FamilyId=48B3A74E-A4AF-41D6-BDEC -1B6104648647&displaylang=en