Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidad en el servicio FTP de Microsoft IIS

Vulnerabilidad en el servicio FTP de Microsoft IIS

Fecha de publicación: 
01/09/2009
Importancia: 
3 - Media
Recursos afectados: 
  • Microsoft IIS 5.0 en Microsoft Windows 2000 professional, Server, Datacenter y Advanced Server.
  • Microsoft IIS 5.1 en Microsoft Windows XP SP2 Y SP3 Y x64 SP2.
  • Microsoft IIS 6.0 en Microsoft Windows Server 2003 Web Standard y Datacenter Edition

ACTUALIZACIÓN: 04/09/2009.

También afecta a IIS 7.0

Descripción: 

Se ha publicado una vulnerabilidad en el servicio FTP en el Microsoft Internet Informatión Server.

Impacto: 

Para IIS 5.0 un atacante que aproveche esta vulnerabilidad, podría ejecutar comandos de su elección en un servidor vulnerable. Los intentos de explotación fallidos y en equipos con IIS 6.0 y posteriores se pueden producir denegaciones de servicio, ya que posee la "Stack Cookie Protection".

 

Solución: 

ACTUALIZACION

Aún no se ha publicado una actualización que solucione la vulnerabilidad, por lo que se aconseja:

  • Configurar la aplicación IIS de forma que no permita el acceso de escritura a usuarios anónimos del FTP, de esta forma se limitará la posibilidad de que un atacante cree un directorio que pueda explotar esta vulnerabilidad.
  • Modificar los permisos del directorio principal del FTP, de forma que los usuarios del FTP no puedan crear directorios, solo trabajar con los que ya tengan creados.
Detalle: 

El servidor FTP (File Transfer Protocol) de la aplicación Microsoft IIS (Internet Information Server) tiene una vulnerabilidad (CVE-2009-3023) que permite provocar un desbordamiento de búfer basado en pila, y la posterior ejecución de código a través de un comando NLST (Name LiST, muestra el listado de ficheros de un directorio o directorios en un servidor FTP) que utiliza comodines en el nombre de los directorios a mostrar. El atacante puede crear este nombre de directorio manipulado de forma adecuada si el servidor FTP está configurado para permitir acceso de escritura usando la cuenta Anonymous u otra cuenta que esté disponible para el ataque.

Ya se ha publicado un script que explota esta vulnerabilidad, aunque no se tiene constancia de que se esté explotando activamente.

ACTUALIZACION: 07/09/2009.

Microsoft ha reconocido que esta vulnerabilidad se está explotando actualmente.