Lỗ hổng bảo mật nghiêm trọng trên IIS

[ta070492]

Các quản trị mạng trên khắp thế giới đã có những ngày cuối tuần không mấy “yên bình” khi Microsoft cho biết, các hacker đang khai thác lỗ hổng bảo mật trên phần mềm máy chủ IIS. Trước đó, hôm 4/9, Bkis ra khuyến cáo các doanh nghiệp sử dụng IIS ở Việt Nam.

Lỗ hổng bảo mật trên có thể bị tin tặc lợi dụng để kiểm soát các phiên bản IIS 5.0 cũ kỹ, chạy trên Windows 2000, từ đó tạo ra các thư mục FTP trên máy chủ, tạp chí công nghệ PC World dẫn thông tin từ Microsoft.

Mã tấn công để khai thác lỗ hổng đầu tiên đã được công khai trên mạng hôm 31/8.

Các máy chủ sử dụng IIS cũng có nguy cơ bị tấn công từ chối dịch vụ (DoS), nhờ vào một đoạn mã thứ hai, đăng trên trang web Milw0rm hôm 3/9.

Mã mới này có thể bị sử dụng để khởi động các cuộc tấn công từ chối dịch vụ vào những máy chủ sử dụng các phiên bản ISS 5.0, 6.0, 7.0, và nhiễm vào các máy tính sử dụng IIS trên Windows XP và Windows Sever 2003, Microsoft thông báo.

Tuy nhiên, Microsoft trấn an, để thực hiện việc tấn công, máy chủ đích phải chạy dịch vụ FTP, đồng thời những kẻ tấn công phải có khả năng đọc được một số file hệ thống.

Microsoft phát đi cập nhật tư vấn về lỗ hổng cuối ngày 3/9, nói rằng họ đang bắt đầu thấy “con số hạn chế các cuộc tấn công có sử dụng đoạn mã khai thác này”.

Điều này có nghĩa là chỉ một số rất ít các cuộc tấn công đã được phát hiện. Một số nhà cung cấp dịch vụ bảo mật khác, hôm 5/9, cho biết họ không thấy dấu hiệu lỗ hổng bảo mật IIS đã được sử dụng.

Microsoft sẽ phát hành bản cập nhật bảo mật tháng 9 vào ngày 8/9 tới đây, nhưng không chắc sẽ kèm theo bản vá lỗ hổng trên, vì có thể cần thêm thời gian để kiểm tra và thiết kế bản vá.

Ở Việt Nam, hôm 4/9, Bkis phát đi khuyến cáo liên quan đến lỗ hổng bảo mật trên.

“Một số lượng lớn các máy chủ Web ở Việt Nam sử dụng web server IIS của Microsoft, do đó lỗ hổng này có thể ảnh hưởng tới hệ thống mạng của các cơ quan, doanh nghiệp tại Việt Nam”, khuyến cáo có đoạn.

Theo Bkis, tất cả các quản trị mạng của các cơ quan, doanh nghiệp nên thực hiện ngay các biện pháp khắc phục tạm thời trước khi nhà sản xuất đưa ra bản vá chính thức, cụ thể như sau:

- Kiểm tra phiên bản FTP có thể bị ảnh hưởng tới lỗ hổng này tại Website của Microsoft: http://www.microsoft.com/technet/sec...ry/975191.mspx

- Tạm thời tắt dịch vụ FTP của Microsoft nếu phiên bản nằm trong danh sách nói trên, tạm thời sử dụng dịch vụ FTP khác để thay thế.

- Thường xuyên theo dõi và cập nhật ngay khi Microsoft phát hành bản vá cho lỗ hổng này.

Dịch vụ FTP của IIS hỗ trợ câu lệnh NLST [remote-directory] cho phép liệt kê các file có trong thư mục [remote-directory] trên máy chủ, theo giao thức FTP. Tuy nhiên, với một đường dẫn [remote-directory] đặc biệt và dài “quá khổ”, IIS đã xử lý không tốt dẫn đến lỗi tràn bộ đệm cho phép chuyển điều khiển đến mã độc.

Lợi dụng lỗ hổng này, hacker có thể dễ dàng tấn công chiếm quyền điều khiển các máy chủ web IIS có hỗ trợ FTP. Bằng cách kết nối, đăng nhập và gửi lệnh NLST chứa mã độc tới dịch vụ FTP, hacker có thể kiểm soát toàn bộ máy chủ. Lỗ hổng này sẽ đặc biệt nghiêm trọng nếu IIS cho phép các kết nối mà không cần quyền xác thực (anonymous).