Quando o ASP rapidamente se tornou popular no site global com seus recursos flexíveis, simples, práticos e poderosos, algumas de suas próprias falhas e vulnerabilidades estão ameaçando todos os desenvolvedores de sites. Realizaremos uma discussão detalhada sobre as mais recentes vulnerabilidades de segurança do ASP e do IIS nesta edição.
No início deste mês, a Microsoft foi novamente acusada de não prestar mais atenção à segurança de seu software de servidor da Web. Uma falha chamada solicitação ilegal de HTR foi encontrada no produto popular da Microsoft IIS Sever 4.0. De acordo com a Microsoft, essa falha fará com que qualquer código seja executado no lado do servidor em determinadas situações. Mas nas palavras de Firas Bushnaq, CEO da empresa de segurança da Internet, Eeye, que descobriu a vulnerabilidade, é apenas a ponta do iceberg. Bushnaq disse que a Microsoft ocultou algumas situações, como hackers que podem usar essa vulnerabilidade para controlar totalmente o servidor IIS, e muitos sites de comércio eletrônico são baseados nesse sistema.
Os detalhes dessa vulnerabilidade do sistema IIS estão listados abaixo:
A última vulnerabilidade de segurança do IIS
Sistemas afetados:
Informações da Internet
Microsoft Windows NT 4.0 SP3 Pacote 4
Microsoft Windows NT 4.0 SP4 Pacote 4
Microsoft Windows NT 4.0 SP5 Pacote 4
Data de publicação: 6.8.1999
A Microsoft confirmou a vulnerabilidade, mas ainda não há patches disponíveis.
Anúncio de segurança da Microsoft (MS99-019):
Tópico: Vulnerabilidade anormal de solicitação HTR
Tempo de liberação: 6.15.1999
resumo:
A Microsoft confirmou uma vulnerabilidade séria do sistema em seu produto do servidor web lançado, o Internet Information Server 4.0, o que resulta em um ataque de negação de serviço aos servidores do IIS; nesse caso, pode causar o funcionamento de qualquer código binário no servidor. Os patches para a vulnerabilidade serão lançados em um futuro próximo, preste muita atenção a todos os usuários do IIS.
Introdução à vulnerabilidade:
O IIS suporta uma variedade de tipos de arquivos que requerem processamento do lado do servidor, como: ASP, ASA, IDC e HTR. No entanto, havia sérias vulnerabilidades de segurança no ISM.DLL, um arquivo responsável pelo processamento de arquivos HTR. (Nota: o próprio arquivo HTR é usado para gerenciar remotamente as senhas de usuário)
A vulnerabilidade contém um buffer não verificado no ISM.DLL, que pode representar duas ameaças à operação de segurança dos servidores da Web. Primeiro, há uma ameaça de um ataque de negação de serviço. Mas o servidor da Web do IIS deve ser reiniciado. Outra ameaça é ainda mais indução de dor de cabeça, usando uma solicitação de arquivo bem construída, poderá tirar proveito dos meios padrão de transbordamento de cache para fazer com que o código da lixeira seja executado no lado do servidor; nesse caso, tudo pode acontecer! A vulnerabilidade não inclui arquivos .htr que fornecem funcionalidade para gerenciar senhas de usuário.
Análise de princípios:
Há um transbordamento em pelo menos uma extensão do IIS (por exemplo: ASP, IDC, HTR). Especulamos que o transbordamento ocorrerá quando o IIS passar o URL completo para a DLL para processar a extensão. Se a DLL ISAPI não tiver o intervalo de limite de seleção correto, causando um excesso de inetinfo.exe, o usuário executa o código binário da extremidade remota. Método de ataque: Envie a seguinte solicitação HTTP para o IIS: GET/[Overflow] .htr HTTP/1.0, o IIS falhará. O [transbordamento] aqui pode ser um código de 3k longo.
Você pode não estar muito familiarizado com os arquivos .htr. E essa função é implementada por um conjunto de arquivos .htr e uma DLL de extensão do ISAPI: ISM.DLL. Quando uma URL completa é passada para o ISM.DLL, não há verificação para limites de tamanho apropriados, ocorrerá o excesso, fazendo com que o servidor falhe. HTR/ISM.DLL ISAPI é a instalação padrão do IIS4.
Solução:
Como a Microsoft não lançou patches disponíveis para uso, só podemos fazer alguma prevenção de emergência.
1. Exclua a extensão .htr da lista de DLLs ISAPI
Na área de trabalho do NT, clique em Iniciar -> Programas -> Windows NT 4.0 Opção pacote—> microfone
ROSOFT INFORMAÇÃO DE INTERN. Clique no botão Configurar, selecione o mapeamento relevante do .htr na caixa de listagem de mapeamento de aplicativos, selecione Excluir e OK.
2. Instale o patch fornecido pela Microsoft, preste muita atenção aos seguintes sites
http://www.microsoft.com/security
http://www.microsoft.com/security/products/iis/checklist.asp
Alguns amigos podem ficar intrigados. minha intenção. Realizamos programação de rede e desenvolvemos sites interativos, é claro, para tudo, para desenvolver e criar nossos próprios sites, mas tudo isso é baseado na segurança Proteção, garantindo a operação segura e normal dos servidores de sites, garantindo a segurança e a autenticação das informações do usuário etc., quando o comércio eletrônico se tornar um método de operação comercial verdadeiramente extenso no futuro, a segurança é ainda mais crítica. Muitos de nossos amigos também são de responsabilidade dos administradores de rede como programadores da ASP. Portanto, neste artigo no final, o autor listará algumas sugestões de segurança nas configurações do sistema NT e IIS que ele compilou, esperando ajudá -lo.
1. Use a versão mais recente do Microsoft Internet Information Server 4.0 e instale a versão mais recente do NT Service Pack5.
2. Defina os diretórios da Web, como amostra, scripts, iisadmin e msadc no IIS, para proibir o acesso anônimo e restringir endereços IP. Antes da Microsoft fornecer patches, exclua o mapeamento de aplicativos relacionado ao ISM.DLL.
3. Se possível, use o mecanismo de firewall.
4. Diretórios importantes, como diretórios da Web, diretórios de CGI, diretórios de scripts e diretórios WINNT, devem ser definidos com o recurso NTFS. ser usado. Para todos os arquivos importantes relacionados ao sistema, exceto administrador, outras contas devem ser definidas como permissões somente leitura, em vez de todos/controle total.
5. Abra apenas os serviços que você precisa e bloqueie todas as portas que não devem ser abertas, como a porta NetBIOS 139, que é uma porta perigosa típica; Além de usar um firewall, as configurações de TCP/IP da NT também fornecem esta função: Abra o painel de controle - Rede - Protocolo - TCP/IP - Atributos - Avançado - Enable Mecanismo de Segurança - Configuração, que fornece portas TCP e UDP Funções de restrição de protocolo.
6. A conta do administrador deve ser definida com mais complicado e é recomendável adicionar caracteres especiais.
7. Altere a porta TCP de FTP e Telnet para portas não padrão.
8. Exclua todas as ações que podem ser excluídas, incluindo compartilhamento de impressoras e ações ocultas, como ICP $, admin $, etc. A Microsoft diz que esses recursos compartilhados especiais são importantes e não podem ser excluídos na maioria dos casos, mas, de fato, as máquinas colocadas Na Internet são grandes.
IPC $: é adequado para gerenciamento remoto de computadores e visualização de recursos compartilhados.
Admin $: na verdade, é c:/winnt, e não há necessidade de compartilhá -lo
C $: os usuários efetuaram login no Admin e no Backup-Operator podem acessar a unidade C por // Nome do computador/C $. Eles devem ser desligados.
Imprimir $: este é o diretório em que o driver da impressora é colocado e também é uma entrada muito perigosa, como a acima.
NetLogon: Este é o compartilhamento que lida com solicitações de login de domínio. Se sua máquina for o controlador de domínio principal e houver outras máquinas no domínio que você deseja fazer login, não o exclua, caso contrário, você ainda poderá excluí -lo.
Como desativar essas ações? Use o Server Manager—> Compartilhe diretório -> Pare de compartilhar
9. Gerencie centralmente o diretório ASP e defina permissões detalhadas de acesso para o diretório do programa ASP.
10. Altere o nome do arquivo Sam._ em WinNT
A prática provou que esse arquivo que pode vazar senha pode ser excluído sem excluí -lo.
11. Para vulnerabilidades conhecidas de segurança, testes e verificações devem ser feitos em sua própria máquina. E instalar patches em tempo hábil.
12. Se necessário, use o mecanismo de comunicação seguro SSL fornecido pelo IIS4.0 para impedir que os dados sejam interceptados on -line.