Foros del Web - Ejecución de código vía .HTR en IIS

Microsoft publica un parche que corrige una vulnerabilidad en el
filtro ISAPI HTR, su explotación permitiría la ejecución de
código arbitrario en Internet Information Server versiones 4.0
y 5.0 para plataformas Windows NT y 2000.

La explotación de la vulnerabilidad, a través de un desbordamiento
de buffer, puede acarrear al menos una denegación de servicios (DoS),
siendo necesario que el administrador de sistemas reinicie Internet
Information Server 4.0 para que vuelva a funcionar de forma correcta.
En la versión 5.0 de IIS el reinicio del servicio de producirá
automáticamente.

Construyendo un ataque más elaborado es posible lograr la ejecución
de código arbitrario de forma remota. Las implicaciones de seguridad
serán mayores en Internet Information Server 4.0 ya que el código
del atacante se ejecutará con los máximos privilegios, lo que
posibilita que pueda lograr el control total del sistema. En IIS 5.0
el filtro ISAPI HTR se ejecuta bajo el contexto de seguridad de la
cuenta Web Application Manager sin permisos de administrador, lo
que no impide que el atacante pueda aprovechar este primer acceso
para escalar privilegios a través de otras acciones.

Microsoft ha publicado los siguientes parches:

IIS 4.0: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=39579

IIS 5.0: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=39217

Sin embargo, desde Hispasec, recomendamos la desactivación permanente
del filtro ISAPI HTR, origen de numerosas vulnerabilidades, que no
será necesario en la mayoría de las configuraciones.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=1326

Más información:
Microsoft Security Bulletin MS02-028
http://www.microsoft.com/technet/security/bulletin/MS02-028.asp

Bernardo Quintero
[email protected]

<IMG src=banderas/argentina.gif>