Фирмы, работающие в области компьютерной безопасности, предупреждают пользователей серверного ПО Microsoft Internet Information Services 6 о новой сетевой атаке, которая может поставить под угрозу сохранность их данных.
Утечка вскрылась в прошлый четверг, когда исследователь Николаус Рангос опубликовал подробности о ней в рассылке Full Disclosure. Послав серверу особым образом составленный HTTP-запрос, он получил возможность просматривать и загружать на него различные файлы. Баг скрывается в способе обработки сервером IIS6 токенов, использующих кодировку Unicode.
Организация US CERT в понедельник сообщила о наличии случаев онлайн-атак на эту уязвимость. В Microsoft утверждают, что им о подобных атаках ничего неизвестно, однако в компании заявили, что там проводят изучение обнаруженной Рангосом проблемы и готовят для пользователей соответствующее руководство.
Баг актуален для тех пользователей IIS 6, у которых включены протоколы WebDAV, служащие для обмена документами через Сеть.
Независимый исследователь Тьерри Золлер подтвердил правильность изысканий Рангоса. Он сообщил, что эта дыра дает хакерам возможность просматривать и загружать файлы без авторизации. При этом способа запустить на сервере IIS неавторизованное ПО ему обнаружить не удалось. Золлер сообщил, что версии IIS 5 и IIS 7 данной уязвимости не подвержены, добавив при этом, что она может сработать с другими приложениями Microsoft, использующими технологию WebDAV. В качестве временной меры до выхода патча он посоветовал отключить WebDAV.
