Dopo qualche giorno di incertezza Microsoft ha confermato il bug nell’Ftp di Internet Information Service. Con la pubblicazione del Microsoft Security Advisory 975191, la software house americana ha precisato la natura della vulnerabilità e, dopo aver chiarito che al momento non ci sono patch disponibili, ha presentato alcune contromisure.
Il 31 Agosto è apparso su Milw0rm, noto portale dell’underground digitale, un exploit zero day per l’Ftp di IIS. Il bug permette l’accesso remoto con privilegi Local System.
Per poter sfruttare questo bug l’hacker deve avere accesso anonimo e la possibilità di creare directory. Se si verificano queste condizioni l’attacco può andare a buon fine.
In realtà Microsoft parla di diverse vulnerabilità. L’esecuzione di codice da remoto (rce) dovrebbe affliggere solo la versione 5.0; nelle altre si dovrebbe presentare “solo” una condizione di DoS (Denial of Service).
Ecco le versioni colpite da queste vulnerabilità:
IIS 5.0,5.1,6.0 e 7.0 con la versione 6.0 dell’Ftp service. Le versioni 7.0 e 7.5 di IIS con Ftp service 7.5 sono immuni.
Le (ovvie) contromisure sono le seguenti:
- Disabilitare l’Ftp se non è fondamentale
- Altrimenti disabilitare l’acceso anonimo se non necessario
- Se l’accesso anonimo è necessario impedire la creazione di file e directory all’utente