Microsoft afviser sårbarhed i IIS

Artiklen blev oprindeligt publiceret den 4/1/2010

En sikkerhedsforsker mener at have fundet en sårbarhed i IIS. Men Microsoft oplyser, at man skal ændre på standardopsætningen for at blive sårbar.

Ifølge forskeren Soroush Dalili kan IIS (Internet Information Services) afvikle filer som Active Server Pages, uanset hvilken filtype de er udstyret med. Det kan en angriber udnytte ved at navngive en fil fx "malicious.asp;.jpg". Serveren tror, det er en ufarlig billedfil, men den kan afvikles som en ASP-fil.

I et blogindlæg afviser Microsoft sårbarheden. Firmaet giver Soroush Dalili ret i, at der er uregelmæssigheder i IIS' behandling af semikolonner.

Men for at være sårbar skal serveren være sat op til at tillade, at udefrakommende både må skrive og afvikle programkode i den samme mappe.

Det strider mod standardopsætningen af IIS og er også i strid med best practices. Så hvis en IIS-server er konfigureret sådan, er den i forvejen sårbar over for angreb, skriver Christopher Budd fra Microsoft i et blogindlæg.

Links

• Soroush Dalilis beskrivelse af sårbarheden (PDF-format)
• Christopher Budds blogindlæg