r   e   k   l   a   m   a
r   e   k   l   a   m   a

Microsoft publikuje exploit na swój serwer

Strona główna Aktualności

Microsoft wychodząc z założenia, że hit-highlighting nie jest dziurą w bezpieczeństwie a przydatną funkcją, opublikował metodę jej wykorzystania do uzyskiwania nieautoryzowanego dostępu do plików za pomocą serwera Internet Information Services 5.x.

IIS 5.0 występuje w Windows 2000 a IIS 5.1 w Windows XP. Funkcja hit-highlighting znajduje się w pliku Webhits.dll. Luka została wykryta 15 grudnia ubiegłego roku a opublikowana pod koniec maja br. Umożliwia ona ominięcie takich mechanizmów zabezpieczeń jak uwierzytelnianie NTLM i Basic oraz restrykcje na adres IP klienta. Pozostaje tylko ustawienie uprawnień na poziomie NTFS. Microsoft w artykule KB328832 nie podaje sposobów zabezpieczenia się. Zaleca tylko upgrade do IIS 6.0 poprzez migrację na Windows Server 2003. Ponadto podaje opis krok po kroku jak ominąć autoryzację w IIS 5.x za pomocą hit-highlighting. Wspominany jest tam plik null.htw. Jak podaje Swa Frantzen z SANS plik ten nie jest konieczny aby uzyskać dostęp do chronionych dokumentów.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.