Non è un Web server, ma formaggio coi buchi

Sembra davvero non avere fine il rosario di vulnerabilità critiche di IIS, il web server di Microsoft: anche oggi, per gli utilizzatori, nuove patch da installare e controlli da effettuare. Ma questa volta i buchi sono ben dieci.



[ZEUS News - www.zeusnews.it - 11-04-2002]

Da quale cominciare? C'è davvero l'imbarazzo della scelta... tanto vale seguire l'ordine proposto da Microsoft nel bollettino tecnico che annuncia la disponibilità della patch cumulativa, rilasciata per le tre versioni di IIS colpite: 4.0, 5.0 e 5.1.

Le prime cinque vulnerabilità consistono in diversi buffer overrun: vediamole in dettaglio.

Numero uno: IIS calcola in modo errato la dimensione del buffer necessario per memorizzare i dati ricevuti dai browser (ad esempio attraverso una form HTML). L'attaccante può perciò sovrascrivere la porzione di memoria adiacente al buffer con una sequenza di bytes opportunamente costruita e bloccare il server o alterarne a piacere il funzionamento. Una interessante descrizione della vulnerabilità, con tanto di esempi, è disponibile su Bugtraq.

Il secondo problema, scoperto dalla stessa Microsoft, è analogo al precedente ma riguarda la gestione delle pagine ASP.

A seguire: IIS non effettua correttamente il controllo degli headers HTTP, consentendo all'attaccante di sovrascrivere con gli headers stessi il contenuto del buffer utilizzato per il test.

Quarto: sono nuovamente coinvolte le pagine ASP, in patricolare la funzionalità server-side include, che consente di includere dinamicamente porzioni codice memorizzato all'esterno della pagina ASP in esecuzione. Se il nome del file da includere supera la lunghezza del buffer destinato a memorizzarlo, viene sovrascritto il contenuto delle posizioni di memoria successive. Attenzione: se il nome del file è specificato dall'utente, questi può fornire alla procedura un nome fittizio, composto in modo tale da immettere nella memoria del server i bytes desiderati. Di conseguenza, come avviene in generale per tutti i buffer overrun, può bloccare la macchina o addirittura prenderene il controllo. Anche questo baco è stato individuato dai tecnici Microsoft.

Il quinto buffer overrun riguarda il filtro ISAPI attivo per default su tutte le macchine NT e Windows 2000 su cui sia in esecuzione IIS e può consentire, anch'esso, l'esecuzione di codice arbitrario sul server.

I problemi numero sei e sette sono del tipo "DoS" (Denial of Service): l'attaccante può impedire alla macchina di erogare i servizi per i quali è configurata. Il primo dei due è legato ai filtri ISAPI forniti con le FrontPage Server Extensions e ASP.NET. In questo caso è proprio un controllo contro i buffer overruns, implementato con poca cura, a determinare un malfunzionamento bloccante.

L'altra vulnerabilità DoS riguarda il server FTP implementato in IIS: al verificarsi di determinate condizioni di errore, vi è il rischio che sia eseguito, trattandolo come se fosse composto di istruzioni macchina, il contenuto di aree di memoria dedicate ai dati, provocando il blocco di entrambi i servzi FTP e HTTP. All'attaccante è sufficiente provocare le condizioni di errore, possibili nella normale operatività, a cui si è accennato.

Gli ultimi tre bachi riguardano tutti la funzionalità di Cross Server Scripting, cioè la capacità di far eseguire ad un server uno script prelevato da un altro sito: la spiegazione che Microsoft ne dà è molto specialistica e, a onor del vero, piuttosto confusa. Meglio leggere l'avviso apparso su Bugtraq, nel quale sono descritte in modo inequivocabile le possibili conseguenze: tra queste, l'accesso agli account di Hotmail e l'acquisizione di privilegi elevati mediante componenti ActiveX.

Va poi sottolineato che, sempre secondo quanto si legge nel bollettino, solo due delle vulnerabilità descritte sono state scoperte da Microsoft: tutte le altre sono state individuate e ad essa segnalate da utenti. Come risultato di un intero mese dedicato, tra mille strombazzamenti propagandistici, alla ricerca dei problemi di sicurezza nel proprio software non c'è male davvero.

E, come se non bastasse, un messaggio spedito ieri alla solita Bugtraq reca un avvertimento: sembra che la patch pubblicata da Microsoft abbia creato seri problemi di stabilità ad alcune macchine sulle quali è stata installata. La causa potrebbe risiedere in particolarità non comuni di configurazione; in ogni caso, prima di procedere all'installazione, è bene effettuare un backup completo dei dischi, in special modo se la continuità di servizio del computer è critica.

Dallo stesso messaggio si apprende, infine, che Microsoft ha più volte escluso l'indirizzo di Bugtraq dalla propria mailing list tecnica. Sappiamo che patron Bill preferirebbe che fosse vietato diffondere notizie sulle vulnerabilità prima della pubblicazione della patch opportuna: l'obiettivo dichiarato è evitare di favorire involontariamente i malintenzionati. Si potrebbe obiettare che la diffusione clandestina non potrebbe essere evitata e che questa, certamente, raggiungerebbe con facilità i crackers, lasciando "scoperta" la generalità degli utenti. Ma per quale dannato motivo tagliare fuori una mailing list dedicata ai problemi di sicurezza, quando si tratti di notizie comunque pubblicate sul sito ufficiale? Costringere gli interessati ad iscriversi ai servizi Microsoft? A qual pro?

Anche questa, con tutta la benevolenza possibile, non è una gran bella figura. Forse andrebbe davvero seguito il suggerimento di Gartner Group di utilizzare un web server non Microsoft (ad esempio Apache) finché IIS non sarà stato completamente riprogettato e riscritto. Il tempo stimato? Tre anni, altro che un mese...

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (0)


La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Autorizzi il browser a ottenere la cronologia dei siti Internet che hai visitato?
Ho disabilitato questa opzione
Sì, ma cancello la cronologia regolarmente
Sì, è comodo, così non devo digitare l'intero indirizzo
Non so

Mostra i risultati (2122 voti)
Maggio 2021
La scorciatoia da tastiera che scongela il Pc
Bye bye, Emotet
Bambini e smartphone, 1.500 euro di multa ai genitori che non li sorvegliano
Aprile 2021
Office manda in pensione Calibri: quale nuovo font preferite?
Windows 10, arriva l'Eco Mode per far tornare scattante il Pc
Microsoft pronta a lanciare Cloud PC, il desktop in streaming
Aggiornamento Windows 10, problemi di tutti i tipi
Se l'FBI, zitta zitta, si mette a patchare i server altrui
Colpevoli di ransomware
Tutti gli home banking sono a rischio, se usi Facebook
Windows 10 rileverà la presenza dell'utente davanti al computer
Yahoo Answers chiude i battenti per sempre
Aggiornamento urgente per iPhone e iPad
Marzo 2021
La macchina di Anticitera
Hacker contro Richard Stallman, la macchina del fango
Tutti gli Arretrati
Accadde oggi - 10 maggio


web metrics