微軟發布IIS安全警報[資訊安全]|靜德科技Dchsoft-最新消息

微軟發布IIS安全警報

文/陳曉莉 (編譯) 2009-05-20

新發現的IIS漏洞主要帶來的是資訊外洩威脅。微軟仍在研究是否有其他攻擊可能性，目前認為在預設的狀況下，駭客無法上傳或變更伺服器上的網頁。

微軟警告，在Windows Internet Information Services（IIS）中發現一新漏洞，駭客可趁機擴張權限，並存取伺服器上的資料。

IIS主要為視窗伺服器系統提供網路代管服務的元件，此外，包括Windows XP專業版及Vista的三個高階版本（商用版、企業版及旗鑑版）都含有IIS元件。

微軟說明，該漏洞的發生是因為WebDAV extension未能妥善處理請求的URL，駭客可藉由打造特殊的HTTP請求，以存取原本要求授權的區域。雖然該漏洞已被公開，但迄今尚未發現有實際攻擊行動。該漏洞影響IIS 5.0、IIS 5.1及IIS 6.0，最新的IIS 7.0則未受到波及。

微軟認為有許多條件限制了該漏洞的嚴重性，包括系統上仍設有檔案系統存取清單（File system ACLs），就算駭客透過漏洞入侵該系統，也僅限於匿名使用者權限；而且系統預設匿名使用者只能讀取並無法寫入檔案；另外，受影響的WebDAV元件在 IIS 6.0中的預設值是關閉的。

微軟安全回應中心工程師Jonathan Ness指出，該漏洞主要帶來的是資訊外洩威脅。微軟仍在研究是否有其他攻擊可能性，目前認為在預設的狀況下，駭客無法上傳或變更伺服器上的網頁。

在微軟尚未發表修補程式前，Ness建議網站管理人員關閉WebDAV功能、更改filesystem ACL設定以拒絕匿名存取，並利用URLScan工具防堵惡意請求，以避免相關的安全威脅。（編譯/陳曉莉）

Microsoft Security Advisory (971492)
Internet Information Services Could Allow Elevation of Privilege
http://www.microsoft.com/technet/securi ... 71492.mspx

駭客利用WebDAV漏洞將美國印第安那州立巴爾大學的伺服器攻破了

Cisco 也發表了同樣的安全警告，他們在一份發表在自己官方網站的安全警告中表示，那些使用了 IIS6 WebDAV 技術，並且網站中有重要檔案的網站管理員應該採取措施，因為攻擊代碼已經被公佈

How to disable WebDav?

IIS5.x:
Set the following registry key value to 1. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\DisableWebDAV
Deny Permissions for everyone on %windir%\System32\Inetsrv\httpext.dll.
Use URLScan to disable WebDav by restricting the verbs the server can process.

IIS6.0:
Set the following registry key value to 1. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\DisableWebDAV
Deny Permissions for everyone on %windir%\System32\Inetsrv\httpext.dll.
In the Web Service Extensions snap in, prohibit WebDav.
Use URLScan to disable WebDav by restricting the verbs the server can process.

References:
How to disable WebDAV for IIS 5.0 (Operating System : Windows 2000), http://support.microsoft.com/default.as ... -US;241520
Enabling Web Service Extensions (IIS 6.0), http://www.microsoft.com/technet/prodte ... x?mfr=true

資訊安全

網站設計

程式設計