A Microsoft rebateu as informações sobre a existência de uma falha crítica de
segurança no Internet Information Services (IIS) e informou que usuários
executando o IIS 6 em sua configuração padrão não terão problemas.
O pesquisador de segurança Soroush Dalili divulgou recentemente um relatório
onde afirma que a falha poderia permitir que os hackers burlassem as medidas de
segurança do IIS. De acordo com ele, isto permitiria o upload de códigos
maliciosos para qualquer máquina afetada.
"O IIS pode executar qualquer extensão como se fosse uma Active Server Page
ou como qualquer outra extensão executável. Por exemplo, 'malicious.asp;.jpg' é
executado como um arquivo ASP no servidor"
, disse ele.
Apesar se suas afirmações,
um post no Microsoft Security Response Center
informou que não existe nenhuma vulnerabilidade no IIS.
"O que vimos foi que existe uma inconsistência na forma como o IIS6 lida
com ';' nas URLs. E esta inconsistência é o foco das afirmações do pesquisador,
que disse que isso pode permitir o upload e execução de códigos maliciosos no
IIS", de acordo com o blog da Microsoft.
"A chave neste caso é o último ponto: para este cenário funcionar, o IIS
precisa estar configurado para permitir os privilégios 'write' e 'execute' no
mesmo diretório. Esta não é a configuração padrão do IIS e é contrária à
política de boas práticas da Microsoft. Simplificando, se o IIS for configurado
com estas permissões, ele será vulnerável ao ataque", informou o post.
De acordo com o blog, se os usuários usarem a configuração padrão do IIS 6 ou se
seguirem a política de boas práticas da Microsoft, não há razão para se
preocupar.
