الصفحة الرئيسية الأخبار أخبار الثغرات استغلال ثغرة 0-Day في Microsoft IIS 6.0
استغلال ثغرة 0-Day في Microsoft IIS 6.0
تقييم المستخدمين: / 7
عاديممتاز 
الكاتب عبدالمهيمن   
الثلاثاء, 29 ديسمبر 2009 00:06

نشر باحث أمني Soroush Dalili تقرير عن ثغرة 0-Day جديدة في Microsoft Internet Information Services أصابت الاصدار 6.0 وجميع الاصدارات السابقة. تمكّن الثغرة المهاجم من رفع ملفّات ضارة على السيرفر واختراقه مستغلّّاً خطأ في طريقة معالجة IIS لاسم الملف المرفوع.

Microsoft

 

حسب التقرير المنشور, اكتشف الباحث الثغرة في أبريل 2009 (أي قبل ثمان أشهر) ونشر تقرير عنها في شهر ديسمبر حيث تم اختبارها على IIS 6 والاصدارات السابقة مع وجود احتمال لاصابة الاصدار 7 (لكن لم يتم تأكيد ذلك بعد) أما IIS 7.5 فهو غير مصاب بهذه الثغرة.

سبب الثغرة يعود لخطأ في طريقة معالجة اسم الملف الموجود على السيرفر من قبل IIS, الثغرة تسمح للمستخدم الذي يستطيع رفع ملفات آمنة للسيرفر (مثل صورة بامتداد jpg , gif , png...) من حقنها مع باك دوور وتشغيلها بعد رفعها الى السيرفر.

يتم ذلك عن طريق اضافة .asp متبوعاً بـ ; الى اسم الملف فمثلاً يمكن للمستخدم رفع صورة مدموجة مع باك دوور باسم:

photo.asp;.png

عند رفع الصورة لن يكون هناك أي مشكلة فالامتداد .png وبما أن الصورة مدموجة سيتعرف الموقع على الملف المرفوع هو صورة. المشكلة في IIS عندما يقوم المستخدم بطلب هذه الصورة فيتم تشغيل الباك دوور المدموج وذلك لأن IIS سيتجاهل الامتداد الموجود بعد ; وبهذه الحالة سيتم اعتبار الملف صفحة asp ويتم تشغيل محتوياتها.

تم اعلام شركة Microsoft بوجود الثغرة والشركة ما زالت تحقق بها وهذا يعني عدم وجود تحديث أمني بالوقت الحالي. لكن بحسب مايكروسوفت الثغرة لا تؤثّر على السيرفرات بالاعدادات الافتراضية!

من جهته نشر في مدوّنة مشروع Metasploit طريقة مفصّلة تشرح كيفية استغلال الثغرة بداً من صنع الباك دوور وحتى الحصول على remote shell من السيرفر المستهدف.

تحديث: شركة مايكروسوفت نفت خطورة استغلال الثغرة, فمشكلة معالجة الرابط موجودة في IIS 6.0 فقط لكن استغلال الثغرة يتطلّب أن يكون المجلد الذي يتم رفع الملفات اليه يملك تصريح الكتابة write والتنفيذ execute وهذا مخالف لاعدادات IIS الافتراضية ولنصائح مايكروسوفت المتعلّقة بحماية السيرفر, بمعنى آخر استغلال الثغرة متعلّق بالاعدادات الخاطئة للسيرفر.

التعليقات (6)Add Comment
SAMI
للحماية
أرسلت بواسطة: SAMI في December 29, 2009

مشكور اخي عبدالمهين على المعلومات وصراحه هذي من الثغرات الخطيرة.


للمنع المخترقين من استغلال هذه الثغره لابد من تعطيل صلاحية التنفيذ (execute permission) من مجلد الأبلود ( upload)

بكل ود .......
ahmed mohi eddin sayed
...
أرسلت بواسطة: ahmed mohi eddin sayed في December 29, 2009
شكرا على المعلومات المهمه
جزبت خيرا
Mohammad AlQarni
...
أرسلت بواسطة: Mohammad AlQarni في December 29, 2009
مشكور أخوي عبدالمهيمن

على الخبر ,, تم التقيم
mrloong
شكرا على المعلومات المهمه
أرسلت بواسطة: mrloong في December 29, 2009
شـكــ وبارك الله فيك ـــرا لك ... لك مني أجمل تحية .
GreyZer0
...
أرسلت بواسطة: GreyZer0 في December 29, 2009
مشكووور اخي عبدالمهيمن على الخبر .
Hamed
...
أرسلت بواسطة: Hamed في December 30, 2009
وااااااااو

خطيره الثغرة بصراحه ,,, لأن الي بيستغلها بيطير مواقع كبيره مثل مايكروسوفت براسها هههههه

آأعذررني على غياب ما يقارب شهرين يا عبدالمهيمن ,,, تحياتي لك

أضف تعليق
يجب عليك الاشتراك بالموقع لتتمكن من كتابة التعليقات, الاشتراك مجاني ويستغرق بضع ثوان فقط!
اذا كنت مشترك مسبقا في الموقع فضلاً قم بتسجيل الدخول.

busy