19-05-2009

Detectado un grave fallo de seguridad en Internet Information Server, el servidor web de Microsoft, que aprovecha fallos y problemas que se suponían resueltos.

Sistemas afectados:

Microsoft Internet Information Services (IIS) 5.0
Microsoft Internet Information Services (IIS) 5.1
Microsoft Internet Information Services (IIS) 6

Riesgo:   Alto

Descripción:

Microsoft afirma estar investigando una vulnerabilidad que afecta a Internet Information Services (IIS) y que está relacionada con un error de salto de privilegios en la manera en la que la extensión WebDAV para IIS, procesa peticiones HTTP.

Un atacante podría explotar la vulnerabilidad generando una petición HTTP anónima que haya sido manipulada para obtener acceso a una zona que requiera autenticación.

Hispasec afirma que existe un exploit para este fallo, pese a que por ahora Microsoft no lo ha confirmado.

Solución:

Se recomienda deshabilitar WebDAV siguiendo las indicaciones del aviso de seguridad de Microsoft hasta que exista solución y comprobar los permisos NTFS ACL de los directorios públicos.

Referencias:

CVE-2009-1535

Más información:

http://www.microsoft.com/technet/security/advisory/971492.mspx
http://www.hispasec.com/unaaldia/3858/

Fuente:   Microsoft www.microsoft.com