Especialistas em segurança alertaram para uma falha de segurança “altamente crítica” no servidor web Microsoft Internet Information Services (IIS).
A falha pode permitir que hackers burlem as medidas de segurança existentes e façam o upload de códigos maliciosos para qualquer máquina afetada.
O pesquisador de segurança Soroush Dalili alertou em um relatório (documento em PDF) que a vulnerabilidade afeta o IIS 6 e versões anteriores. O IIS 7 ainda não foi testado e a versão 7.5 não é vulnerável.
“O IIS pode executar qualquer extensão como se fosse uma Active Server Page ou como qualquer outra extensão executável. Por exemplo, ‘malicious.asp;.jpg’ é executado como um arquivo ASP no servidor” , explicou Soroush.
“Muitos uploaders de arquivos protegem o sistema verificando apenas a última seção do nome do arquivo como se fosse sua extensão. Ao usar esta vulnerabilidade, um hacker pode burlar esta proteção e fazer o upload de um executável perigoso para o servidor” , disse ele.
A Secunia classificou a vulnerabilidade como pouco crítica, mas Soroush Dalili mantém sua posição de que a falha é realmente altamente critica.
A Microsoft informou que já está investigando a falha.
Fonte: http://www.baboo.com.br/conteudo/modelos/Especialistas-descobrem-falha-critica-no-IIS_a37439_z396.aspx