Security Advisory 971492

Microsoft on juuri äsken julkaissut uuden Security Advisoryn 971492 otsikolla Vulnerability in Internet Information Services Could Allow Elevation of Privilege. Advisory koskee Microsoftin Internet Information Serveristä löytynyttä haavoittuvuutta, josta jo suomalaisessakin IT-lehdistössä on ollut puhetta (mm. Tietokone.fi, ITViikko.fi) ja josta myös CERT.FI julkaisi haavoittuvuustiedotteen eilen. HAavoittuvuus koskee Internet Information Serverin versioita 5.0, 5.1 ja 6.0 ja liittyy tapaan, jolla IIS-palvelimen WebDAV-laajennus käsittelee URL-pyyntöä. WebDAV saattaa käsitellä joissan tapauksissa pyynnön virheellisesti, mikä aiheuttaa sen, että laajennus ottaa käyttöön virheellisen kokoonpanomäärityksen. Mikäli käyttöönotettu kokoonpano sallii anonyymin käytön, saattaa hyökkääjä pystyä ohittamaan käyttöoikeuksien tarkistuksen.

Haavoittuvuus on edelleen MSRC:n tutkinnassa. Kunhan tutkimus päättyy, Microsoft julkaisee aiheesta lisätietoja ja tarvittaessa korjauksen.

Haavoittuvuuteen ei siis ole olemassa korjausta, joten mitä voin tehdä haavoittuvuuden aiheuttaman riskin pienentämiseksi? Security Advisoryn Suggested Actions - Workarounds-kohdassa on dokumentoitu useitakin keinoja: 
- Ota WebDAV-laajennus pois käytöstä. Kannattaa huomata, että WebDAV ei ole oletuksena käytössä IIS-palvelimen versiossa 6.0 (Windows Server 2003:n IIS-palvelinversio), vaan se on erikseen otettava käyttöön. Jos WebDAV on käytössä, kannattaa miettiä tarvitaanko sitä, ja mahdollisuuksien mukaan ottaa se pois käytöstä. Security Advisoryssä on tarkempia ohjeita siitä, miten laajennus poistetaan käytöstä eri IIS-palvelimen versioissa.
- Muuta tiedostojärjestelmän käyttöoikeuksia niin, että tiedostoihin ei pääse käsiksi anonyymisti. Myös tästä on ohjeita englanninkielisessä Security Advisoryssä.
- Käytä URLScan-toimintoa URL-pyyntöjen suodattamiseen. Lisätietoja mm. SRD-blogissa.  

Lisätietoja mm:
- MSRC:n blogissa: https://blogs.technet.com/msrc/archive/2009/05/18/microsoft-security-advisory-971492.aspx
- Security Research & Defense -blogissa: https://blogs.technet.com/srd/archive/2009/05/18/more-information-about-the-iis-authentication-bypass.aspx