Slik sikrer du IIS-serveren

Slik sikrer du IIS-serveren

Microsoft innrømmer hullet, og skal lappe det. I mellomtiden må du sikre deg selv.

Microsofts webserver-tjeneste Internet Information Services (IIS) har hull.

LES OGSÅ:

Hull i Microsofts webserver

Selskapet har tidligere ikke kunnet uttale seg om angrepskoden som ble publisert på milw0rm.com. Men nå tar de bladet fra munnen.

I en ny Microsoft Security Advisory (975191), skriver selskapet at koden kan gi hackere tilgang til å kjøre kode på andres systemer. Selskapet skriver videre at hullet rammer brukere av IIS 5.0, 5.1 og 6.0. Nyere versjoner skal være trygge.

Lapper hullet

- Vi er klar over at detaljert angrepskode er publisert på internett. Microsoft vet ikke om noen aktive angrep som bruker denne koden, men vi overvåker situasjonen aktivt, skriver Microsoft.

Selskapet lover at en sikkerhetsoppdatering kan komme, om koden viser seg farlig nok. Og det går de langt i å antyde at den er. Denne oppdateringen kan dermed komme i den vanlige syklusen, på "lappetirsdag", eller som en oppdatering på siden av denne.

Hvor raskt utviklingen av en oppdatering kan gå, sier de ingenting om.

Enkel hack

- Jeg regner ikke med at Microsoft klarer å fikse dette innen neste uke, sier Wolfgang Kandek i sikkerhetsselskapet Qualys til vår internasjonale nyhetstjeneste, og sikter til at det da er duket for en ny oppdateringsrunde.

Han mener også at hullet er svært enkelt for hackere å utnytte.

Security Research & Defense-bloggen til Microsoft foreslås det måter å unngå å blir angrepet på, inntil lappesakene kommer fra Microsoft.

Ettersom hullet angår ftp-delen av IIS, foreslås det å slå av denne funksjonaliteten om du ikke bruker den. De anbefaler også å unngå at nye mapper lages på serveren, ved å bruke NTFS ACL-er (access control-lister). Man kan også slå av muligheten for at anonyme skriver til serverne gjennom IIS-innstilningene. Mer om dette leser du i bloggen.

Provosert Microsoft

Hullet som ble avdekket ble lekket på nettet før Microsoft ble oppmerksom på det. Dette provoserer naturlig nok selskapet. I sin security advisory benytter selskapet anledningen til å slå et slag for å først fortelle ting til de som står bak programvaren.

- Svakheten ble ikke meddelt Microsoft på en forsvarlig måte, og kan sette maskiner i faresonen, skrives det.

- Vi fortsetter å oppfordre til ansvarlige avdekninger av svakheter. Vi mener at det tjener alle at man rapporterer svakhetene direkte til selskapet bak programvaren.

Les om: