Hafta sonu IIS’daki authentication kullanımını bypass edebilecek bir açıklık yayınlandı. Detaylarını merak etmediğim için araştırmadım fakat maillerden okuduğum kadarıyla Webdav özelliği aktif edilmiş IIS 5 ve üzerini etkiliyor. IIS çalıştıranlar için incelenmesi gereken bir açıklık olabilir.
Kimler etkileniyor:
Webdav aktif edilmemiş bir IIS kullanıyorsanız etkilenmiyorsunuz.
W2k3 default olarak webdav açmıyor(muş)
Detaylar:
Konu ile ilgili birinci elden bilgi için aşağıdaki linkler incelenebilir
http://blog.zoller.lu/2009/05/iis-6-webdac-auth-bypass-and-data.html
http://blogs.technet.com/srd/
http://www.microsoft.com/technet/security/advisory/971492.mspx
Korunma
Snort İmzası:
http://vrt-sourcefire.blogspot.com/2009/05/snort-protection-against-iis-60-webdav.html
Milw0rm exploiti için imza:
alert tcp $EXTERNAL_NET any -> $HOME_NET 80 (msg:”IIS6.0 WebDav RemoteAuth Bypass – GET METHOD”; content:”Translate:”; nocase;pcre:”/GET.*%..%.*HTTP/Bi”; pcre:”/Translate: *f/i”;reference:url,isc.sans.org/diary.html?storyid=6397;sid:1000004;
rev:1;)
Açıklığın networkünüzde olup olmadığını taramak için
Açıklığı hızlıca tarama için Nmap NSE scripti
http://ack-rst.com/scripts/webdav.nse
Metasploit eklentisi:
Pingback: Microsoft IIS6 WebDav Remote Auth Bypass Zaafiyeti | Açıkkod.org
Pingback: IIS 5.0/6.0 WebDAV Remote Authentication Bypass Zafiyeti | Syslogs