Một lỗ hổng zero-day trong
dịch vụ FTP (File Transfer Protocol) của phần mềm Microsoft IIS
(Internet Information Server) vừa được công bố cùng với mã khai thác.
Những phiên bản của IIS bị ảnh hưởng bao gồm: IIS 5.0, IIS 6.0 và IIS 7.0.
Theo Trung tâm an ninh mạng Bkis, đây
là lỗ hổng nghiêm trọng cho phép hacker dễ dàng tấn công và kiểm soát
máy chủ IIS từ xa. Hiện tại, Microsoft chưa đưa ra bản vá và thông báo
trên website phải đến thứ 3 tuần sau (08/09/2009) mới có giải pháp khắc
phục.
Một số lượng lớn các máy chủ Web ở
Việt Nam sử dụng web server IIS của Microsoft, do đó lỗ hổng này có thể
ảnh hưởng tới hệ thống mạng của các cơ quan, doanh nghiệp tại Việt Nam.
Bkis khuyến cáo tới tất cả các quản
trị mạng của các cơ quan, doanh nghiệp nên thực hiện ngay những biện
pháp vá lỗi tạm thời trước khi nhà sản xuất đưa ra bản vá chính thức:
·Kiểm tra phiên bản FTP có thể bị ảnh hưởng tới lỗ hổng này tại Website của Microsoft: http://www.microsoft.com/technet/security/advisory/975191.mspx
·Tạm
thời tắt dịch vụ FTP của Microsoft nếu phiên bản nằm trong danh sách
nói trên, tạm thời sử dụng dịch vụ FTP khác để thay thế.
·Thường xuyên theo dõi và cập nhật ngay khi Microsoft phát hành bản vá cho lỗ hổng này.
Dịch vụ FTP của IIS hỗ trợ câu lệnh NLST [remote-directory]
cho phép liệt kê các file có trong thư mục [remote-directory] trên máy
chủ, theo giao thức FTP. Tuy nhiên, với một đường dẫn
[remote-directory] đặc biệt và dài “quá khổ”, IIS đã xử lý không tốt
dẫn đến lỗi tràn bộ đệm cho phép chuyển điều khiển đến mã độc.
Lợi dụng lỗ hổng này, hacker có thể
dễ dàng tấn công chiếm quyền điều khiển các máy chủ web IIS có hỗ trợ
FTP. Bằng cách kết nối, đăng nhập và gửi lệnh NLST chứa mã độc tới dịch
vụ FTP, hacker có thể kiểm soát toàn bộ máy chủ. Lỗ hổng này sẽ đặc
biệt nghiêm trọng nếu IIS cho phép các kết nối mà không cần quyền xác
thực (anonymous).
dịch vụ FTP (File Transfer Protocol) của phần mềm Microsoft IIS
(Internet Information Server) vừa được công bố cùng với mã khai thác.
Những phiên bản của IIS bị ảnh hưởng bao gồm: IIS 5.0, IIS 6.0 và IIS 7.0.
Theo Trung tâm an ninh mạng Bkis, đây
là lỗ hổng nghiêm trọng cho phép hacker dễ dàng tấn công và kiểm soát
máy chủ IIS từ xa. Hiện tại, Microsoft chưa đưa ra bản vá và thông báo
trên website phải đến thứ 3 tuần sau (08/09/2009) mới có giải pháp khắc
phục.
Một số lượng lớn các máy chủ Web ở
Việt Nam sử dụng web server IIS của Microsoft, do đó lỗ hổng này có thể
ảnh hưởng tới hệ thống mạng của các cơ quan, doanh nghiệp tại Việt Nam.
Bkis khuyến cáo tới tất cả các quản
trị mạng của các cơ quan, doanh nghiệp nên thực hiện ngay những biện
pháp vá lỗi tạm thời trước khi nhà sản xuất đưa ra bản vá chính thức:
·Kiểm tra phiên bản FTP có thể bị ảnh hưởng tới lỗ hổng này tại Website của Microsoft: http://www.microsoft.com/technet/security/advisory/975191.mspx
·Tạm
thời tắt dịch vụ FTP của Microsoft nếu phiên bản nằm trong danh sách
nói trên, tạm thời sử dụng dịch vụ FTP khác để thay thế.
·Thường xuyên theo dõi và cập nhật ngay khi Microsoft phát hành bản vá cho lỗ hổng này.
Dịch vụ FTP của IIS hỗ trợ câu lệnh NLST [remote-directory]
cho phép liệt kê các file có trong thư mục [remote-directory] trên máy
chủ, theo giao thức FTP. Tuy nhiên, với một đường dẫn
[remote-directory] đặc biệt và dài “quá khổ”, IIS đã xử lý không tốt
dẫn đến lỗi tràn bộ đệm cho phép chuyển điều khiển đến mã độc.
Lợi dụng lỗ hổng này, hacker có thể
dễ dàng tấn công chiếm quyền điều khiển các máy chủ web IIS có hỗ trợ
FTP. Bằng cách kết nối, đăng nhập và gửi lệnh NLST chứa mã độc tới dịch
vụ FTP, hacker có thể kiểm soát toàn bộ máy chủ. Lỗ hổng này sẽ đặc
biệt nghiêm trọng nếu IIS cho phép các kết nối mà không cần quyền xác
thực (anonymous).