【微軟證實IIS安全漏洞】

tan2818

【微軟證實IIS安全漏洞】

 

安全研究人員Soroush Dalili發現要上傳一個JPG檔案時，可以利用分號夾帶一個可執行的ASP檔案；透過該漏洞，駭客就能上傳一個危險的可執行檔。
 
安全研究人員Soroush Dalili於上周揭露了微軟網路資訊服務（Internet Information Services，IIS）中的漏洞，指出駭客可以在上傳檔案時夾帶惡意程式。

 

微軟已證實該漏洞，但表示只有在使用者更改預設且採用不安全的配置時才會讓駭客有機可乘。

 

Dalili表示，他發現要上傳一個JPG檔案時，可以利用分號夾帶一個可執行的ASP檔案，例如malicious.asp;.jpg，由於許多檔案上傳機制保護系統的方法是檢查檔案最後的副檔名，透過該漏洞，駭客就能上傳一個危險的可執行檔。

 

根據資安業者Secunia的說明，該漏洞肇因於網路伺服器錯誤執行檔案中用分號所區分的不同副檔名中的ASP程式。

 

Secunia表示，目前確定該漏洞影響Windows Server 2003 R2 SP2中所執行的IIS 6.0，其他版本也可能受到影響。

 

微軟安全專案經理Jerry Bryant指出，微軟正在調查此一事件，尚未接獲相關攻擊報導。

 

此外，初步評估認為惟有在使用者更改IIS網路伺服器預設及採用不安全的配置時才會導致該漏洞；因為駭客須經身份認證並具執行權限以寫入目錄，而這並不符合微軟為伺服器配置安全而提出的最佳實作準則，舉凡使用預設配置及遵循最佳作法的，皆可降低類似此一事件的風險。

 

Bryant表示，該漏洞並未根據責任揭露原則，在還沒通知微軟便公布，可能置客戶於險境。

 

Bryant也強調微軟將採取合適的保護措施，包括透過例行性更新修補該漏洞，或提供額外的修補程式及準則。