Falha no IIS: justo no Natal?

Por: em 26/12/09 na(s) categoria(s): Segurança

comentários 58

Nos primórdios da Internet como a conhecemos hoje, falar mal da (falta de) segurança do IIS (Internet Information Services), da Microsoft, era chutar cachorro morto. “Queijo suíço” era um apelido carinhoso.

É claro que a coisa melhorou muito. Mas quando uma vulnerabilidade no servidor da MS aparece, as piadinhas voltam com força total e a GNU/Comunidade, com um sorrisinho no canto da boca, sussurra: “Eu te disse, eu te disse…”.

steve_ballmer

A versão 6 (e todas as anteriores), mesmo rodando em um Windows Server 2003 R2 SP3, apresentou uma falha gravíssima (nas palavras do pesquisador Soroush Dalili). O problema aparece quando, apesar do sistema bloquear o “upload” de arquivos executáveis (como .exe ou .asp), o usuário tenta “subir” algo como “roubo_seu_cartao_de_credito.asp;.jpg”. O arquivo “sobe”, como se fosse uma imagem. Mas é executado, com se fosse uma página ASP. Lindo, não?

Apesar de ainda não haver uma solução, a Scunia classificou o problema como “Less Critical”. Particularmente, se eu tivesse que administrar um servidor IIS, não dormiria tranquilo neste feriado até que Papai Noel me trouxesse uma atualização para o Windwos Server 2008. Ou mudasse para o Apache (“…eu te disse, eu te disse…”).

[via Security Focus]

Mais textos de | Twitter

  • Jason Manchest

    Nossa ainda bem que na empresa onde trabalho só se usa apache, mesmo com as frescuras que só o apache pode oferecer a você como algumas dores de cabeça ainda dar para dormir tranquilo ou mesmo fazer um patch rapidinho para ser um paliativo ao problema, mas com o IIS ai a coisa muda de figura.

  • douglas_martins

    Queijo suiço é pouco.

     

    mas como dizem…

     

    They have a plan…

  • http://keaton.wordpress.com/ Keaton

    w00t… vamos exploitar o orkut!1!!

  • Feko

    “Eu te disse, eu te disse…” :P

    Quem sabe seja a hora de dar uma chance ao lighttpd?

  • http://bsrsoft.com.br andre_pereira

    Tem de ser muito louco pra rodar ainda com o IIS 6 por ai.

     

    É menos perigoso roubar 1 Kg de pó de Beiramar e xingar a mãe dele, tudo de uma sóz vez e desarmado.

     

    Recomendação: upgrade do IIS junto com o Windows Server ou então usar Apache / NGINX.

  • maiconfaria

    HaHa !

    Ainda bem que o código é fechado, imagine as brechas e os bugs que poderiam ser usados se pudessemos auditar o código !

    Código fechado serve para dois grupos opostos: os fodões, que fazem do software de qualidade um instrumento competitivo (ex: Intel e Nvidia ) e os pitocos (ex: microsoft ), que escondem para não passar vergonha.

     

  • Lem0nHead

    Permitir que um usuário envie e execute um ASP não é em si um problema de segurança muito grave; especialmente se o usuário com que o IIS executa ASPs não for um usuário com muitos privilégios…

    Mas é o tipo de vulnerabilidade que pode permitir que outras vulnerabilidades já existentes sejam exploradas.

  • mano_lima

    O autor da descoberta, Soroush Dalili, recomenda três medidas preventivas para impedir que o bug gere alguma catástrofe. Nenhuma delas envolve a necessidade de atualizar o IIS ou o Server, por isso, acho que nenhum admin precisa perder o sono no feriadão.

    Em tempo, um bom Ano Novo para toda galera do Meio Bit.

  • Arthur Medeiros

    Vamo nessa!!!1!11!!1!onze!!

  • Rogério Garcia

    Ou estou com tanto sono que não entendi a ironia, ou esse cara bateu um recorde e conseguiu falar mal tanto de código aberto, quanto da MS num mesmo post?:?

  • Wallacy

    Mais uma para os “raqui” de plantão! O que vai aprecer de gente tentando explorar esse bug…

  • http://ceticismo.net Pryderi

    Vc reparou a insígnia dele?

  • http://oxenti.com GuZ

    Rápido! como faz um helloword em ASP.net? Quero ver se o orkut tá inseguro :P

  • peron

    Quanta ingenuidade!

    Fui obrigado a me cadastrar aqui só pra postar isso…

    O Orkut, assim como qualquer site pode, deixa a extensão AspX mas a tecnologia por trás disso pode ser qualquer uma.

    No caso do orkut, começou sendo em asp, mas como viram que não estava aguentando, partiram pra JAVA, Phython, só que mantiveram a extensão aspx para compatibilidade de Links.. imaginou trocar? todos os links para orkut não funcionarem mais? comunidades, perfis? não da, né?

    É muito usado por desenvolvedores, alem de esconder a extensão, mudar, pra tentar enganar invasores menos experientes, que vão tentar invadir um windows onde tem um linux…

    Mas nada é perfeito…

     

     

  • http://keaton.wordpress.com/ Keaton

    …?

    É sério que você levou tão a sério o que eu disse sobre o Orkut?

  • luctimm

    Sistemas arcaicos confiam em arquivos baseados em extensões…

  • Jones_Nathan

    [quote=peron]

    [...] imaginou trocar? todos os links para orkut não funcionarem mais? comunidades, perfis? não da, né? [...]

    [/quote]

    É possível. Já ouviu falar em redirecionamento?

    Trocar não seria inviável, afinal trocaram já faz um tempinho o esquema de URL das páginas, de Page.aspx para Main#Page. E como eles mantêm a compatibilidade com os links antigos? Através do redirecionamento, claro.

    De resto, totalmente nonsense o que você falou.

  • maiconfaria

    Lá vem o pokechato !

    É claro que fui sarcastico na primeira frase, vou começar a legendar com smileys :D

     

  • http://ceticismo.net Pryderi

    Argumentum ad Meiobit

    Acontece quando algum postulante escreve besteira e é pego pelo pé. Daí, ele tenta se safar alegando que é sarcasmo.

  • http://cognostech.posterous.com/ Ramon E. Ritter

    Jones,

    Não é tão incomum essa estratégia de trocar a extensão das páginas para tentar enganar os invasores (se isso realmente funciona eu não sei). Eu conheço 2 bancos cujo internet banking usa apache/java e tem todas as páginas com extensão ASP para tentar enganar algum scriptkid de plantão.

     

     

  • http://oxenti.com GuZ

    Tipo o Ubuntu?

  • http://oxenti.com GuZ

  • maiconfaria

    Ah bom, eu ganhei um insignia de freetard, logo depois defendo o software proprietário como forma de aumentar a segurança.

    Ainda tenho que explicar o sarcasmo, Poke ?

     

  • http://raelmaxi.wordpress.com raelmaxi

    Bonito hein?

  • Jason Manchest

    Nada, tipo windows mesmo. Mas tenho de concordar o pessoal do Ubuntu/gnome realmente anda aceitando o uso de reconhecimento por extensões no nautilus.

  • http://gabrielotavio.com gotavio

    Não entendi o “Subir” do post.  Qual protocolo foi usado para subir a falsa imagem? o famoso e horroroso FTP?

    Bom, como tenho o privilégio de transitar tanto no mundo Open Source quanto no proprietário resolvi fazer um teste básico aqui.

    Tenho um Server IIS com o PHP instalado (Rodando sob o IIS).

    Subi (via FTP) dois duas pseudo-imagens como descrito no post e olha só o resultado:

    ASP

    http://gabrielotavio.com.br/teste_img.asp;jpg

    PHP

    http://gabrielotavio.com.br/teste_img.php;jpg

    Ambas foram processadas pelo navegador como SCRIPT e não como imagem.

    Provavelmente um sistema de publicação feito em ASP ou PHP (rodando no IIS) pode por engano aceitar a “postagem” de uma pseudo-imagem e gerar isso aí.  

     

    Só posso dizer que é muito, MUITO, MUUUUUITTOOOO PERIGOSO!

  • http://gabrielotavio.com gotavio

    Eu trabalho um tempinho com servidores WEB, e constantemente vejo uma situação onde é necessário rodar PHP, ASP e ASPx no mesmo serviço.

    Nesse caso não tem solução, é IIS mesmo.  Pq rodar um ASP em ambiente Unix/Linux é COMPRICADO!

    Pra esse caso o “de graça” não funciona!  :(

  • luizfelipestang

    Nossa somente isso. é de se esperar que arquivos upados pelo usuario não ganhem nenhuma permissão de execução, portanto, eles não rodariam por falta de permissao mesmo sendo .asp

  • maiconfaria

    [Aceita água de radiador  ?] Ops, desculpe, os comentários abaixo esclareceram o que querias dizer !

  • http://keaton.wordpress.com/ Keaton

    Em português não tem graça.

  • http://ceticismo.net Pryderi

    “Tard” vem de “Retard”. Precisa explicação maior? ;)

  • Marco Freitas

    [quote=Jones_Nathan]

    É possível. Já ouviu falar em redirecionamento?

    [/quote]

    Ah, sim. Aquele que é nativo no Apache dende tempo imemoriais mas que precisa de um “componente” adicional para o IIS?

  • Marco Freitas

    ‘Tenho um roteador Wireless que usa “.asp” em suas páginas de configuração. Deve ser um WinCE rodando IISCE num processador MIPS.’

  • Marco Freitas

    [quote=gotavio]

    Eu trabalho um tempinho com servidores WEB, e constantemente vejo uma situação onde é necessário rodar PHP, ASP e ASPx no mesmo serviço.

    Nesse caso não tem solução, é IIS mesmo.  Pq rodar um ASP em ambiente Unix/Linux é COMPRICADO!

    Pra esse caso o “de graça” não funciona!  :(

    [/quote]

     

    Situação conhecida como “arrumar sarna para se coçar”.

  • Marco Freitas

    [quote=luizfelipestang]

    Nossa somente isso. é de se esperar que arquivos upados pelo usuario não ganhem nenhuma permissão de execução, portanto, eles não rodariam por falta de permissao mesmo sendo .asp

    [/quote]

     

    Isso é facilmente resolvido com um mero .htaccess no diretório de upload. Ainda tem gente que usa IIS em hospedagem compartilhada?

  • http://www.fabiocardoso.com.br Fabião

    Nada é mais característico de um noob do que chegar ensinando o pai nosso a rezar o padre.

  • luctimm

    Não sei, não sou careta e digo não as drogas. Mas o Linux (leia-se distribuições de gente), a extensão é perfurmaria, e o que importa é o mime-type.

     

     

  • Wallacy

    Qual sua versão do IIS?

    E bem, se seu teste também funcionou com o .php mostra que o problema é mesmo do IIS e não da linguagem.

    Sabe-se lá quantos scripts ele também pode executar em imagens “de verdade”, ou em videos, ou dentro de qualquer coisa… Tem muito uso para uma falha assim.

  • Wallacy

    Somente isso? Não subestime a criatividade humana… Isso é só a ponta do icebearg.

    Muita gente dizia a mesma coisa sobre SQL injection… Os sistemas não possuem varias camadas de segurança à toa. Se uma camada só fosse suficiente, bem…

  • maiconfaria

    Como eu sei que ninguém vai te moderar, é melhor eu não entrar nessa espiral contigo. Capaz de me expulsarem  !

    Seja Feliz !

  • http://gabrielotavio.com gotavio

    Pior ainda meu caro.

    É a única sarna que existe pra se coçar!

  • Marco Freitas

    [quote=Wallacy]

    Somente isso? Não subestime a criatividade humana… Isso é só a ponta do icebearg.

    Muita gente dizia a mesma coisa sobre SQL injection… Os sistemas não possuem varias camadas de segurança à toa. Se uma camada só fosse suficiente, bem…

    [/quote]

     

    Coisas que acontecem quando você deixa o trabalho de criar as consultas para o cliente.

  • http://gabrielotavio.com gotavio

    Versão  6  com todas a atualizações possíveis instaladas.

    Quanto ao script é como executar um vírus num computador.  mas normalmente em uma pasta de imagens não damos permissão total (escrita por exmplo)  somente em pastas com arquivos de transações tipo XML e tal.  Mas pode-se ter acesso ao SMTP, FTP e outros serviços (PERIGO) como o Banco de dados (uaia).

    Lembro quando o IIS ainda se chamava Internet Information Server(e não services) que tinha um esquema de puxar o código fonte de um arquivo em ASP, ou seja, ver o código-fonte de um site.

     

  • http://bsrsoft.com.br andre_pereira

    IIS 6 continua o mesmo queijo suiço de sempre.

    Complicadissima uma situação dessas.

  • luizfelipestang

    Por isso, para a segurança, é melhor usar uma camada que esconde o endereço verdadeiro das paginas. e não usar o asp e sim aspx. assim, mesmo que a pagina seja upada, ela não vai rodar pois o seu endereço não sera aceito.

    Fora aquele arquivo htaccess para não deixar rodar executaveis. mais permissões NTFS configuradas corretamente.

    Eu ainda usaria uma abordagem de colocar na pagina que recebe o arquivo, uma função para ela salvar com o nome aleatorio, e o verdadeito nome fica um Dicionario no banco de dados.

    E por ultimo, talvez ate validar se o cabecalho dela é mesmo um jpg, se a pagina é de upar imagens, então melhor é verifica a palavra magica que a maioria dos arquivos do windows tem no começo, igual o linux faz, em vez de usar a extensão.

    Nunca confie a segurança em um unico ponto de sua arquitetura.

  • http://www.twitter.com/aerogabriel GabrielSO

    Existe um equivalente ao htaccess em IIS? Lembro que precisei uma vez e não achei nada do tipo.

  • shimatai

    #euri

  • shimatai

    Desde quando o Ubuntu liga pra extensões? :?

  • http://oxenti.com GuZ

    Desde a versão 8 até hoje. ;)

  • http://www.fabiocardoso.com.br Fabião

    Você sabe que eu tenho uma predileção pelos seus comentários pró-qualquer troço que seja FOSS, né? Secunia:

    IIS6 – 9 Vulnerabilidades

    Apache 2.0 – 26 Vulnerabilidades

    Apache 2.2 – 28 Vulnerabilidades

     

    Se vossa senhoria considera um software com 9 vulnerabilidades um queijo suíço, que diria de um com 28?

    É este tipo de profissional que leva uma empresa pro buraco: Escolhas baseadas em paixão, que não se preocupam nem em se informar se o que estão dizendo tem algo de acordo com a realidade ou não.

    Tapando o sol com a peneira? De jeito nenhum, o bug é péssimo. A questão é que TODO BENDITO SERVIDOR é uma “peneira”, com vulnerabilidades por todos os lados. E quando falamos de servidores Linux, por exemplo, em que tudo é descentralizado, o Server Admin precisa fritar o Apache de olho no Sendmail, Postfix, MySQL e todas as tranqueiras de fabricantes diferentes que formam o ecossistema do negócio.

    Eu uso servidores Linux, pra deixar claro. O que não sou é mal informado de dizer que é devido ao concorrente ser um “queijo suíço” porque não é.

  • davidkwast

    Sim, quase todo mundo sabe disto sobre o Orkut.

    Phython ???????? http://python.org/

  • shimatai

    Eu uso o Ubuntu 9.10 e tenhoa alguns arquivos sem extensão e ele abre numa boa no programa correto.

  • shimatai

    Mas quantidade não quer dizer nada. Eu prefiro um software com 99 vulnerabilidades sem gravidade do que um software com uma única vulnerabilidade grave (ou gravíssima).

     

  • http://www.fabiocardoso.com.br Fabião

    Ambos tem como vulnerabilidades mais graves não patcheadas “Less Critical”.

    Não dá pra chamar o IIS de queijo suíço sem chamar o Apache de algo pior. E não acho que nenhum dos dois deveria ser chamado de qualquer uma destas denominações.

  • http://bsrsoft.com.br andre_pereira

    Ídem. O Ubuntu, como todo Linux, abre arquivos sem se importar com a extensão. Ele checa o mime type interno.

     

    Voce pode abrir um DOC renomeado para uma extensão do tipo FDT dando um duplo clique nele. Ele vai abrir normalmente no editor de textos.

  • http://bsrsoft.com.br andre_pereira

    Olá Fabião.

     

    Todos sentimos sua falta nesse período em que você ficou menos ativo por aqui.

     

    Vamos lá:

    Não trabalho com paixões. Só aspectos técnicos e de mercado.

    O IIS 6 é um verdadeiro queijo suiço, com falhas bizarras como essa da extensão (motivo do artigo do autor do post).

    Comparar somente o número de bugs/falhas para dizer que um software é mais seguro do que outro é a típica tática tendênciosa e desinformativa. Ela camufla a severidade dos bugs exibindo apenas números, que em si, não dizem nada.

    Todos nós aqui (imagino) conhecemos a fama do IIS 6. Todo admin de servidores sabe, pelo menos.

    Veja bem que estou falando do IIS 6 e não das versões mais recentes. Meu comentário não é anti software proprietário e pró FOSS, portanto. Meu comentário só fala dessa versão do IIS.

    Defender o IIS 6 hoje é o mesmo que dizer que o Windows 95 é tão seguro quanto o Win7. Sabemos que não é.

    O design é diferente.

  • http://oxenti.com GuZ

    Tente renomear um .gif pra .doc

     

    Tentei agora no 9.10 e nao abriu :P

  • davidkwast

    Concordo. Nem vamos lembrar daquela falha do SSL do Debian e derivados por 2 anos. Aquilo sim um belo fazedor de furos.