Ukjent Windows-hull slapp hacker inn i Pentagon

Et hittil ukjent sikkerhetshull i Microsofts webtjener ble benyttet av hackere til å snoke hos Pentagon.

Ifølge amerikanske presse (blant annet Information Week, Wall Street Journal og News.com) ble en hacker avslørt forrige tirsdag under et "rekognoseringstokt" i minst to ikke-kritiske servere bak brannmuren til Pentagon. Avsløringen skyldes snokvarslingsprogramvare som var spesielt innstilt på å reagere på lange web-adresser. Hackeren hadde brukt en webadresse på rundt 50.000 tegn for å oversvømme en usikret buffer i WebDAV-protokollen (World Wide Web Distributed Authoring and Versioning) i Microsofts webtjener IIS (Internet Information Services) som kjører på Windows 2000. Før hackeren ble oppdaget, var denne bufferen ikke kjent som noen aktuell sårbarhet.

Sikkerhetsselskapet TruSecure, kjent blant annet for sin tilknytning til BugTraq, oppdaget angrepet under rutinemessig etterretning i IT-undergrunnen. Både Pentagon og Microsoft ble straks varslet. Sårbarheten ble først kjent i går kveld norsk tid da Microsoft offentliggjorde Microsoft Security Bulletin MS03-007: Security Update for Microsoft Windows 2000, sammen med en fiks. Microsoft-bulletinen understreker at dersom man ikke har anledning til å fikse IIS straks, bør man slå av WebDAV-funksjonen med mindre man er absolutt avhengig av den. WebDAV er en ordning som lar utviklere samarbeide over en Internett-forbindelse.

Microsoft presiserer at det utelukkende er IIS versjon 5.0 under Windows 2000 som har den usikrede bufferen. Andre versjoner av IIS kan ikke rammes.
Microsoft understreker også at sårbarheten er svært alvorlig. Snokene som infiltrerte de to Pentagon-serverne, hadde full anledning til å gjøre hva de ville med maskinene.

Et annet sikkerhetsselskap, Internet Security Systems, bekrefter at de kjente til sårbarheten, men ville ellers ikke si annet enn at en ikke-identifisert kunde var rammet. Selskapet leverer blant annet et avansert snokvarslingsprogram ("intrusion detection") som det spekuleres kan være det Pentagon brukte for å oppdage inntrengerne.

Pentagon har ikke kommentert tilfellet. TruSecure-sjef Russ Cooper sier at så vidt han vet, var ikke andre enn Pentagon-maskinene angrepet. Han legger til at ikke noe tyder på at utenlandske terrorister eller regjeringer er innblandet.

Internet Security Systems peker på at det allerede er utviklet snokverktøy som utnytter WebDAV-sårbarheten i IIS 5.0.

Det betraktes som både oppsiktsvekkende og illevarslende at et snokverktøy var i omløp allerede før Microsoft hadde rukket å publisere en fiks.

Cooper mener at det bare er snakk om sju til ti dager før det dukker opp en automatisert orm som utnytter sårbarheten. Han frykter at ødeleggelsene kan bli svært omfattende.

Snoken i Pentagon brukte TCP-port 3389, til å sende masse data. Denne porten brukes gjerne til kryptert trafikk, og utgjør et hensiktsmessig gjemmested for inntrengere.

Til toppen