Windows - Az IIS szolgáltatás sebezhetősége

Windows rendszerek sebezhetőségei 1. rész

Új sorozatunkban a Windows operációs rendszerek szolgáltatásainak sebezhetőségeit foglaljuk össze, és a megoldásokat is bemutatjuk, amelyekkel kiküszöbölhető a rendszer sikeres támadása. Első cikkünkben az Internet Information Services szolgáltatással foglalkozunk.
Az IIS alapértelmezett telepítés után számos támadási fajtára érzékeny. Ezek a kockázati tényezők a következők:
  • Denial of service támadás (szolgáltatás-megtagadás támadás).
  • Érzékeny fájlok és adatok elérhetősége.
  • Önkényes kódok futtatása.
  • A szerver teljes sebezhetősége.
Az IIS egy ISAPI nevű programozási horgot használ arra, hogy különféle DLL-ekkel fájlokra asszociáljon (ezek az ISAPI szűrők). Az előfeldolgozók, mint pl. a PHP, vagy a ColdFusion, az ISAPI-t használják, hogy kezeljék a függvényeket, mint az ASP. Sokféle ISAPI szűrő települ az IIS-sel alapértelmezésben, amelyek nem szükségesek a legtöbb esetben, és sok ezek közül támadható. Ezekre a legjobb példa a Code Red és Code Red 2 férgek.
Akárcsak a legtöbb Web-szerver esetében, az IIS is tartalmaz mintaalkalmazásokat, amelyeket arra terveztek, hogy bemutassák a Web-szerver működését. Ezek az alkalmazások nem arra lettek tervezve, hogy éles környezetben biztonságosan működjenek. Némely IIS mintaalkalmazás engedélyezi a távoli nézegetést vagy felülírást, vagy távoli hozzáférést kritikus információkhoz, mint amilyen az adminisztrátor jelszava.
Egy IIS telepítés, amely nincs karbantartva, szintén ki van téve azoknak a sebezhetőségeknek, amelyeket a szoftver megjelenése óta felismertek. Kiváló példa erre a WebDAV ntdll.dll az IIS 5.0-ban, amely denial of service támadást tesz lehetővé, és segítségével bármely weboldal-látogató script-eket hozhat létre, és futtathat a szerveren, és az Unicode sebezhetőség, amellyel veszélyes parancsok futtathatók a szerveren, tisztán URL segítségével.
Harmadik fél által készített kiegészítések, mint a ColdFusion és a php újabb sebezhetőséget jelenthetnek egy IIS telepítésben akár konfigurációs hiány vagy belső sebezhetőség által.
Hogyan állapítható meg, hogy sebezhetők vagyunk-e?
Alapértelmezett, vagy még nem patch-elt IIS telepítés magában hordozza a sebezhetőséget.
Rendszer- és hálózati adminisztrátorok az IIS telepítésének gondozása folytán hozzáférhetnek olyan kiterjesztett Microsoft eszközökhöz, biztonsági dokumentumokhoz, amelyek a megfelelő IIS adminisztrációhoz szükségesek.
Javasolt letölteni a Microsoft Baseline Security Analyzer-t, amely tartalmaz olyan észlelő mechanizmusokat, amelyek az IIS-hez készültek.
A rendszergazdák összevethetik saját rendszereiket számos ellenőrzőlistával, leírással, és sebezhetőséget ismertető dokumentációval, amelyet a Microsoft tesz közzé, hogy kövessék a sebezhetőségi állapotot.
Hogyan védekezzünk
Patch-eljük a rendszert és tartsuk naprakészen.
Egy szerver patch-elése szükséges, de nem elegendő. Használjuk a Windows Update-et és az AutoUpdate opciókat. A HFNetChk, a Network Security Hotfix Checker segít a rendszergazdáknak, a helyi vagy távoli rendszer ellenőrzésében az aktuális patch-ek érdekében. Az eszköz valamennyi rendszeren elérhető a Windows NT óta és letölthető a következő helyről:
http://www.microsoft.com/technet/security/tools/hfnetchk.asp
Ha külső fejlesztőcég által készített terméket használunk, mint a ColdFusion vagy a PHP, akkor ne feledjük rendszeresen ellenőrizni ezen termékek weboldalát, hogy naprakészek legyünk a frissítésekből. Ezekre a frissítésekre a Microsoft-nak nem terjedhet ki a hatóköre.
Használjuk az IIS Lockdown varázslót, hogy megerősítsük a telepítést. (Mellékelt cikkünkben találhatunk információt erről az eszközről.)
Használjuk az URLScan-t, hogy a HTTP kéréseket szűrjük. (Mellékelt cikk.)

Windows rendszerek sebezhetőségei cikksorozat

Az IIS szolgáltatás sebezhetősége - Windows rendszerek sebezhetőségei 1. rész

Az IIS szolgáltatás sebezhetősége - Windows rendszerek sebezhetőségei 1. rész