25 diciembre 2009

Feliz Nav[IIS]dad


Cada uno celebra la Navidad como quiere, por ejemplo Soroush Dalili ha regalado a los chicos de Microsoft trabajo extra para estas fechas tan señaladas. La liberación de la vulnerabilidad de "punto y coma en IIS" o como reza el título del documento: "Microsoft IIS 0Day Vulnerability in  Parsing Files (semi‐colon bug)" permite que cualquier extensión de archivo sea ejecutada como un Active Server Page (ASP) o cualquier otro tipo de ejecutable. Ho-ho-ho. Feliz Navidad.

Con un ejemplo el problema se entenderá mejor. Si tenemos un foro que permite la subida de un fichero de imagen para nuestro perfil y la aplicación únicamente comprueba que la extensión sea un archivo jpeg, un usuario gamberro podría mandar un archivo con nombre "mifoto.asp;.jpg" y este sería ejecutado como un asp. Esto le permitiría al usuario cosas como la ejecución de comandos, lectura de ficheros del sistema y otras cuantas por las que los Reyes Magos le traerían mucho carbón.

No he llegado a probarla, pero es tan ridícula que seguro que funciona perfectamente. Queda esperar que dicen los pro-Microsoft, además de protegerse bajo el discurso de que no afecta a aplicaciones bajo tecnología .NET (aspx). Por otra parte, Secunia confirma su existencia en IIS6 y  la cataloga como Less Critical (2 sobre 5)

5 comments :

Dani Kachakil dijo...

Acabo de probarlo y funciona a las mil maravillas...

Me gustaría matizar que afecta a aplicaciones .NET. En teoría el fallo no permite ejecutar ficheros .ASPX, pero sí los .ASP (que pueden haber sido subidos a través de cualquier aplicación desarrollada en .NET)

Feliz Navidad! ;-)

Anónimo dijo...

No es mala idea para celebrar el dia de Navidad, es bastante mejor que comer piñones o marisco!

Miguel dijo...

menudo "regalito" jo jo jo ...

como siempre, gracias por el apunte!

Pedro Sánchez dijo...

Joder que si funciona. Perfectamente.

Feliz Navidad!!

vierito5 dijo...

Es un fail bien chulo. Feliz Navidad a todos!