Microsoft IIS6 WebDav Remote Auth Bypass Zaafiyeti
Hafta sonu IIS’daki authentication kullanımını bypass edebilecek bir açıklık yayınlandı. Detaylarını merak etmediğim için araştırmadım fakat maillerden okuduğum kadarıyla Webdav özelliği aktif edilmiş IIS 5 ve üzerini etkiliyor. IIS çalıştıranlar için incelenmesi gereken bir açıklık olabilir.
Kimler etkileniyor:
Webdav aktif edilmemiş bir IIS kullanıyorsanız etkilenmiyorsunuz.
W2k3 default olarak webdav açmıyor(muş)
Detaylar:
Konu ile ilgili birinci elden bilgi için aşağıdaki linkler incelenebilir
http://blog.zoller.lu/2009/05/iis-6-webdac-auth-bypass-and-data.html
http://blogs.technet.com/srd/
http://www.microsoft.com/technet/security/advisory/971492.mspx
Korunma
Snort İmzası:
http://vrt-sourcefire.blogspot.com/2009/05/snort-protection-against-iis-60-webdav.html
Milw0rm exploiti için imza:
alert tcp $EXTERNAL_NET any -> $HOME_NET 80 (msg:”IIS6.0 WebDav RemoteAuth Bypass – GET METHOD”; content:”Translate:”; nocase;pcre:”/GET.*%..%.*HTTP/Bi”; pcre:”/Translate: *f/i”;reference:url,isc.sans.org/diary.html?storyid=6397;sid:1000004;
rev:1;)
Açıklığın networkünüzde olup olmadığını taramak için
Açıklığı hızlıca tarama için Nmap NSE scripti
http://ack-rst.com/scripts/webdav.nse
Metasploit eklentisi:
Related posts:
2 Comments
Links to this Post
-
Microsoft IIS6 WebDav Remote Auth Bypass Zaafiyeti | Açıkkod.org — May 22, 2009 @ 2:02 pm
-
IIS 5.0/6.0 WebDAV Remote Authentication Bypass Zafiyeti | Syslogs — May 27, 2009 @ 5:59 pm
RSS feed for comments on this post. TrackBack URI
