استغلال ثغرة 0-Day في Microsoft IIS 6.0

نشر باحث أمني Soroush Dalili تقرير عن ثغرة 0-Day جديدة في Microsoft Internet Information Services أصابت الاصدار 6.0 وجميع الاصدارات السابقة. تمكّن الثغرة المهاجم من رفع ملفّات ضارة على السيرفر واختراقه مستغلّّاً خطأ في طريقة معالجة IIS لاسم الملف المرفوع.

حسب التقرير المنشور, اكتشف الباحث الثغرة في أبريل 2009 (أي قبل ثمان أشهر) ونشر تقرير عنها في شهر ديسمبر حيث تم اختبارها على IIS 6 والاصدارات السابقة مع وجود احتمال لاصابة الاصدار 7 (لكن لم يتم تأكيد ذلك بعد) أما IIS 7.5 فهو غير مصاب بهذه الثغرة.

سبب الثغرة يعود لخطأ في طريقة معالجة اسم الملف الموجود على السيرفر من قبل IIS, الثغرة تسمح للمستخدم الذي يستطيع رفع ملفات آمنة للسيرفر (مثل صورة بامتداد jpg , gif , png…) من حقنها مع باك دوور وتشغيلها بعد رفعها الى السيرفر.

يتم ذلك عن طريق اضافة .asp متبوعاً بـ ; الى اسم الملف فمثلاً يمكن للمستخدم رفع صورة مدموجة مع باك دوور باسم:

عند رفع الصورة لن يكون هناك أي مشكلة فالامتداد .png وبما أن الصورة مدموجة سيتعرف الموقع على الملف المرفوع هو صورة. المشكلة في IIS عندما يقوم المستخدم بطلب هذه الصورة فيتم تشغيل الباك دوور المدموج وذلك لأن IIS سيتجاهل الامتداد الموجود بعد ; وبهذه الحالة سيتم اعتبار الملف صفحة asp ويتم تشغيل محتوياتها.

تم اعلام شركة Microsoft بوجود الثغرة والشركة ما زالت تحقق بها وهذا يعني عدم وجود تحديث أمني بالوقت الحالي. لكن بحسب مايكروسوفت الثغرة لا تؤثّر على السيرفرات بالاعدادات الافتراضية!

من جهته نشر في مدوّنة مشروع Metasploit طريقة مفصّلة تشرح كيفية استغلال الثغرة بداً من صنع الباك دوور وحتى الحصول على remote shell من السيرفر المستهدف.

تحديث: شركة مايكروسوفت نفت خطورة استغلال الثغرة, فمشكلة معالجة الرابط موجودة في IIS 6.0 فقط لكن استغلال الثغرة يتطلّب أن يكون المجلد الذي يتم رفع الملفات اليه يملك تصريح الكتابة write والتنفيذ execute وهذا مخالف لاعدادات IIS الافتراضية ولنصائح مايكروسوفت المتعلّقة بحماية السيرفر, بمعنى آخر استغلال الثغرة متعلّق بالاعدادات الخاطئة للسيرفر.