Hostnews

Especialistas em segurança alertaram para uma falha de segurança “altamente crítica” no servidor web Microsoft Internet Information Services (IIS).

A falha pode permitir que hackers burlem as medidas de segurança existentes e façam o upload de códigos maliciosos para qualquer máquina afetada.

O pesquisador de segurança Soroush Dalili alertou em um relatório (documento em PDF) que a vulnerabilidade afeta o IIS 6 e versões anteriores. O IIS 7 ainda não foi testado e a versão 7.5 não é vulnerável.

“O IIS pode executar qualquer extensão como se fosse uma Active Server Page ou como qualquer outra extensão executável. Por exemplo, ‘malicious.asp;.jpg’ é executado como um arquivo ASP no servidor” , explicou Soroush.

“Muitos uploaders de arquivos protegem o sistema verificando apenas a última seção do nome do arquivo como se fosse sua extensão. Ao usar esta vulnerabilidade, um hacker pode burlar esta proteção e fazer o upload de um executável perigoso para o servidor” , disse ele.

A Secunia classificou a vulnerabilidade como pouco crítica, mas Soroush Dalili mantém sua posição de que a falha é realmente altamente critica.

A Microsoft informou que já está investigando a falha.

Fonte: Baboo