Microsoft IIS6 WebDav Remote Auth Bypass Zaafiyeti

Hafta sonu IIS’daki authentication kullanımını bypass edebilecek bir açıklık yayınlandı. Detaylarını merak etmediğim için araştırmadım fakat maillerden okuduğum kadarıyla Webdav özelliği aktif edilmiş IIS 5 ve üzerini etkiliyor. IIS çalıştıranlar için incelenmesi gereken bir açıklık olabilir.

Kimler etkileniyor:

Webdav aktif edilmemiş bir IIS kullanıyorsanız etkilenmiyorsunuz.
W2k3 default olarak webdav açmıyor(muş)

Detaylar:
Konu ile ilgili birinci elden bilgi için aşağıdaki linkler incelenebilir
http://blog.zoller.lu/2009/05/iis-6-webdac-auth-bypass-and-data.html
http://blogs.technet.com/srd/
http://www.microsoft.com/technet/security/advisory/971492.mspx

Korunma
Snort İmzası:

http://vrt-sourcefire.blogspot.com/2009/05/snort-protection-against-iis-60-webdav.html

Milw0rm exploiti için imza:

alert tcp $EXTERNAL_NET any -> $HOME_NET 80 (msg:”IIS6.0 WebDav RemoteAuth Bypass – GET METHOD”; content:”Translate:”; nocase;pcre:”/GET.*%..%.*HTTP/Bi”; pcre:”/Translate: *f/i”;reference:url,isc.sans.org/diary.html?storyid=6397;sid:1000004;
rev:1;)

Açıklığın networkünüzde olup olmadığını taramak için

Açıklığı hızlıca tarama için Nmap NSE scripti

http://ack-rst.com/scripts/webdav.nse

Metasploit eklentisi:

http://trac.metasploit.com/browser/framework3/trunk/modules/auxiliary/scanner/http/wmap_dir_webdav_unicode_bypass.rb?rev=6562

This entry was posted in Web Security, Windows Security. Bookmark the permalink.

2 Responses to Microsoft IIS6 WebDav Remote Auth Bypass Zaafiyeti

  1. Pingback: Microsoft IIS6 WebDav Remote Auth Bypass Zaafiyeti | Açıkkod.org

  2. Pingback: IIS 5.0/6.0 WebDAV Remote Authentication Bypass Zafiyeti | Syslogs

Leave a Reply

Your email address will not be published. Required fields are marked *

3 × four =