In queste ore si sono diffusi alcuni dettagli circa una vulnerabilità di sicurezza che affligge IIS 6.0, versione del web server di Microsoft installata su Windows Server 2003 (oltre che utilizzabile anche su Windows XP Professional x64).
Ad una prima analisi, la falla di sicurezza da poco messa a nudo ricorda da vicino un’altra problematica scoperta addirittura nel lontano 2001, su IIS 4 ed IIS 5. Secondo quanto riportato, un aggressore potrebbe riuscire ad accedere via web a sottodirectory protette mediante autenticazione sfruttando una lacuna di WebDAV, set di istruzioni del protocollo HTTP che permettono di gestire in modo collaborativo dei file su un server remoto. La vulnerabilità sembra correlata ad un’imperfetta gestione dei caratteri unicode: inviando una richiesta HTTP da remoto, l’aggressore potrebbe quindi riuscire ad accedere al contenuto di una sottocartella protetta.
Non è ancora chiaro se Microsoft intenda aspettare sino al prossimo “patch day” (previsto per il 9 Giugno) per rilasciare un aggiornamento di sicurezza o se, piuttosto, mettere a disposizione una patch “out-of-cycle” nel corso dei prossimi giorni.
Nel frattempo, come spiegato nel bollettino da poco apparso sul sito del gigante di Redmond (ved. questa pagina), viene suggerito di disattivare – almeno temporaneamente – il supporto per WebDAV in IIS 6.0 accedendo alla finestra Web Service Extensions del web server, selezionando la voce WebDAV quindi premendo il pulsante Prohibit.
Va osservato comunque come WebDAV sia disabilitato in modo predefinito su IIS 6.0.
Mentre alcuni report pubblicati in Rete indicano IIS 5.x come non affetto dal problema, Microsoft suggerisce anche in questo caso la disattivazione del supporto WebDAV attraverso l’aggiunta di un valore nel registro di sistema di Windows (ved. questa pagina).
In alternativa, viene proposto l’impiego di URLScan, uno strumento in grado di riconoscere e filtrare le richieste HTTP facenti riferimento a WebDAV.
IIS 7.0 (installato su Windows Server 2008 e fruibile in Windows Vista, nelle “edizioni” Business, Enterprise ed Ultimate) non è invece afflitto dalla vulnerabilità.
Anche Cisco (ved. questa scheda) e lo US-CERT hanno confermato l’esistenza della problematica offrendo qualche spunto aggiuntivo.