Alvorlig sikkerhetslus i MS IIS

Det er denne uken blitt oppdaget en lus Microsofts Internet Information Server (IIS) som åpner for at brukere av nettsteder kan hente ned kildekode som inneholder sensitiv informasjon, blant annet passord.

Feilen, som kalles "$DATA bug", gir tilnærmet alle web-brukere tilgang til kildekode som brukes i Microsofts ASP (Active Server Page) protokollapplikasjoner som kjører på IIS.

ASP er en teknologi som gjør det mulig for IIS webservere å skape dynamisk innhold ved å aksessere forskjellige databaser. Informasjon herfra blir satt sammen til websider ved hjelp av programmer som kjører på webserveren. Slik ASP-kode er normalt skjult for webbrukerne, som kun ser de ferdige websidene.

Ved å få tak i kildekoden som brukes av ASP, kan webbrukerne få tilgang til brukernavn og passord til disse databasene, som kan inneholde sensitiv informasjon.

Alt brukeren behøver å gjøre er i legge til teksten "::$DATA" i slutten av adressen på ethvert nettsted som bruker ASP.

Det er likevel tre betingelser for at dette skal fungere. Brukeren må kjenne navnet på filen med kildekoden, filen må være åpen for leseaksess og den må være lagret på en NTFS-partisjon.

Microsoft benekter at dette er snakk om noen form for bakdør som er lagt inn av selskapet, hverken ved et uhell eller med vilje, men sier det er en lus i håndteringen av den stedfortredende datastrømmen til IIS. Selskapet har nå lagt ut en lusfiks på sitt nettsted, men inntil denne er blitt installert på serverne, anbefales serveradministratorene å skru av leseaksessen til ASP-filer.

"::$DATA bug" ble første gang oppdaget og publisert tirsdag i denne uken av en britisk sikkerhetskonsulent.

I januar i år ga Microsoft ut et feilfiks mot en tilsvarende lus i IIS. Denne åpnet for tilgang til kildekoden og enkelte systeminnstillinger i filer på Windows NT-baserte webservere.

(Kilder: Wired News, Microsoft)

Til toppen