Wystarczy spreparowany plik JPEG do przejęcia kontroli nad Windows Server

Wystarczy jeden odpowiednio spreparowany plik graficzny, aby przejąć kontrolę nad serwerem z zainstalowanym systemem Windows Server. W wyniku odpowiedniego zabiegu serwer wykonuje dodatkowe dane zawarte w pliku. Odkrywca błędu przygotował film obrazujący moment ataku.

Za znalezienie tej luki odpowiada Marcus Murray z firmy TrueSec, który jest specjalistą od bezpieczeństwa, który przeprowadza m.in. testy penetracyjne. Przykładowy atak został pokazany podczas konferencji RSA w San Francisco, kiedy to Murray uzyskał nieautoryzowany dostęp do serwera jednej z amerykańskich agencji rządowych. Wprowadził on dodatkowe, szkodliwe dane do opcjonalnych atrybutów pliku JPEG (a dokładniej danych Exif), a następnie przesłał na serwer używając mechanizmu do wgrywania obrazków. Serwer webowy wykonał jego kod, pozwolił na uruchomienie wiersza poleceń i trojana RAT, oraz uzyskanie uprawnień do przejęcia kontroli nad systemem.

W efekcie tego ataku możliwe jest następnie przejęcie innych składników serwera, w tym kontrolera domeny, a więc całej sieci. Co za tym idzie, atakujący może np. podsłuchiwać ruch, a także instalować złośliwego oprogramowania. Błąd polega na niewystarczającym sprawdzaniu danych pochodzących od użytkowników: wiele z portali w ogóle nie analizuje plików, inne sprawdzają jedynie rozszerzenie, a jeszcze inne tylko dane meta. Serwer natomiast nie chroni przed tego typu zagrożeniami. Do ataku został wykorzystany m.in. pakiet Metasploit służący do wykonywania testów penetracyjnych i łamania zabezpieczeń.

Dla swoistej równowagi dodajmy, że w Internecie aż roi się od niepoprawnie napisanych poradników dotyczących uruchamiania serwera nginx z obsługą PHP na serwerze Linux. W tym przypadku nieprawidłowa konfiguracja pozwala na uruchamianie dowolnego pliku za pomocą PHP poprzez jedynie niewielką modyfikację oryginalnego adresu. Pamiętajmy więc zarówno o filtrowaniu wszystkich danych od użytkowników, jak i odpowiedniej konfiguracji serwera webowego.