Fuente: SearchSecurity.com

Microsoft advierte de una vulnerabilidad día cero en el servidor web Microsoft Internet Information Services (IIS), que, si se explota con éxito, podría darle a un atacante privilegios elevados para obtener acceso a datos sensibles.

Microsoft dijo que una vulnerabilidad de evasión de autenticación remota existe en la extensión de WebDAV, una colección de herramientas utilizada para publicar contenido en servidores web IIS. El servidor web no decodifica correctamente la dirección URL solicitada, por lo que un atacante puede explotar la falla mediante la creación de una petición HTTP anónima especialmente preparada para lograr acceder a una ubicación específica. Microsoft dijo que la falla normalmente requiere autenticación.

Las versiones 5.0-6.0 de Microsoft IIS se ven afectadas. El gigante de software dijo que no tiene conocimiento de que circulen actualmente en internet ataques contra el fallo, pero el Equipo de Respuesta ante Emergencias Informáticas de los EEUU (US-CERT, por sus siglas en inglés) emitió una advertencia el lunes alertando que tienen conocimiento de una herramienta disponible públicamente que permite explotar la vulnerabilidad.

Como solución, los usuarios pueden desactivar la funcionalidad WebDAV, dijo Microsoft. Los usuarios también pueden negar el acceso al sistema de archivos a las cuentas de usuarios anónimos, o utilizar listas de control de acceso NTFS para controlar el acceso a los recursos en el servidor.

“Microsoft tomará las medidas apropiadas para proteger a nuestros clientes, que puede incluir una solución a través de nuestro proceso de emisión de actualizaciones de seguridad mensual, o una actualización de seguridad fuera de ciclo, en función de las necesidades de los clientes”, dijo Christopher Budd, jefe de comunicaciones de respuestas ante incidentes de seguridad de Microsoft.

El error fue descubierto por el investigador de seguridad Nikolaos Rangos, que ha publicado detalles en la lista de correo de seguridad Full Disclosure. En su aviso de IIS, Rangos dice que el fallo permite a atacantes evadir la autenticación en carpetas protegidas, y subir o descargar archivos a una carpeta WebDAV protegida por contraseña.

En su aviso de seguridad 971492, Microsoft minimizó la gravedad de la falla, explicando varias características de seguridad que deben ser superadas con éxito para explotar el fallo.

Microsoft dijo que un atacante no puede superar el nivel de acceso concedido a la cuenta del usuario anónimo, puesto que el sistema de archivos de IIS verifica si un archivo es accesible por un usuario determinado. Además, la cuenta de usuario anónimo sólo tiene acceso de lectura. Microsoft dijo que la extensión WebDAV no está habilitada en la configuración por defecto, lo que significa que muchas organizaciones pueden no estar utilizándola.

El centro de vulnerabilidades danés, Secunia, dio a la vulnerabilidad la calificación de moderadamente crítica.