Desde hace unos d\u00edas, estamos viviendo una especie de desafortunada
\nvuelta a principios de esta d\u00e9cada por culpa de un grave fallo de
\nseguridad en Internet Information Server, el servidor web de Microsoft.
\nSe ha descubierto una vulnerabilidad \u00abcomo las de antes\u00bb y, lo peor,
\naprovechando fallos y problemas que parec\u00edan pertenecer ya al pasado,
\ncomo de otro tiempo. Al parecer, el fallo est\u00e1 disparando el n\u00famero de
\n\u00abdesfiguraciones\u00bb (defaces) en servidores web con IIS en los \u00faltimos
\nd\u00edas.<\/p>\n
A cualquiera que est\u00e9 al tanto de las noticias sobre seguridad le sonar\u00e1
\nque las palabras IIS, WebDAV, unicode y la cabecera \u00abTranslate:f\u00bb (parte
\ndel protocolo WebDAV) son t\u00e9rminos que juntos, no han tra\u00eddo nunca nada
\nbueno al servidor de Microsoft en los \u00faltimos a\u00f1os. La vulnerabilidad
\nque acaba de ser descubierta combina todos esos elementos. Se ha
\nencontrado un fallo en IIS 6.x a la hora de procesar peticiones http
\nespecialmente manipuladas con la cabecera \u00abTranslate:f\u00bb y con caracteres
\nUnicode. Esto puede permitir a un atacante eludir la autenticaci\u00f3n (y
\nsubir ficheros si lo permiten los permisos) al disparar un problema de
\nvalidaci\u00f3n en WebDAV.<\/p>\n
Vamos a dar un peque\u00f1o repaso a las vulnerabilidades que se basaban en
\nalguno de los elementos que Microsoft nunca manej\u00f3 (ni maneja, por lo
\nvisto) demasiado bien.<\/p>\n
Antecedentes (1999)<\/p>\n
En 1999 se descubri\u00f3 un fallo cl\u00e1sico en IIS. Introduciendo un punto al
\nfinal de los archivos ASP en servidores web IIS 3.0 se pod\u00eda visualizar
\nel c\u00f3digo fuente del archivo. Por ejemplo:<\/p>\n
http:\/\/servidor.iis.afectado\/ejemplo.asp<\/a>.<\/p>\n La actualizaci\u00f3n desarrollada para solventar este problema cumpli\u00f3 su http:\/\/www.direccion.com\/code\/ejemplo.asp0x2e<\/a><\/p>\n a\u00fan se pod\u00eda descargar el c\u00f3digo fuente del archivo ASP. Un parche para Antecedentes (2000)<\/p>\n Se descubri\u00f3 un error relacionado con el protocolo est\u00e1ndar de Internet Antecedentes (2001)<\/p>\n Cuando se public\u00f3 IIS, Microsoft no tuvo en cuenta la potencial escalada http:\/\/servidor.iis.afectado\/scripts\/..\/..\/..\/winnt\/system32\/cmd.exe?\/c+dir+c:\\<\/a><\/p>\n El problema fue corregido, aunque durante mucho tiempo la mayor\u00eda de los
\ntrabajo y la \u00abvulnerabilidad del punto\u00bb desapareci\u00f3. Pero el parche
\nobvi\u00f3 la representaci\u00f3n hexadecimal del car\u00e1cter \u00ab.\u00bb (0x2e), por lo que
\nsustituy\u00e9ndolo en la URL de esta forma:<\/p>\n
\nel parche solucion\u00f3 el problema.<\/p>\n
\nWebDAV (Web Distributed Authoring and Versioning) mayoritariamente usado
\npor Microsoft en IIS (ven\u00eda activado por defecto). WebDAV se trata de un
\nconjunto de extensiones de HTTP que proporciona el est\u00e1ndar para editar
\ny manejar ficheros y atributos a trav\u00e9s de web (lo que ya de por s\u00ed lo
\nconvierte en un potencial problema de seguridad). El problema consist\u00eda
\n(como el que acaba de ser descubierto) en enviar una petici\u00f3n HTTP mal
\nformada, aprovechando el protocolo WebDAV y algunas otras
\ncircunstancias, como el mal comportamiento del servidor ante ciertos
\ncaracteres. Explotar el problema era muy sencillo, tan solo hab\u00eda que
\nusar la cabecera \u00abTrasnlate: f\u00bb (que es lo que indica al servidor que la
\npetici\u00f3n tiene que ser manejada con WebDAV) y a\u00f1adir un car\u00e1cter \u00ab\\\u00bb al
\nfinal de la petici\u00f3n GET del archivo ASP del que se quer\u00eda ver el c\u00f3digo
\nfuente.<\/p>\n
\nde directorios que podr\u00eda permitir el acceso a los archivos de sistema
\ndel servidor web. Durante a\u00f1os, entrar en un servidor IIS era tan
\nsencillo como realizar la siguiente petici\u00f3n a trav\u00e9s de cualquier
\nnavegador:<\/p>\n
\nservidores no parchearon (no exist\u00eda WindowsUpdate) y la fama negra del
\nnavegador se iba forjando. Durante 2001, cuando Microsoft introdujo
\nsoporte para la codificaci\u00f3n Unicode en Internet Information Server,
\ncometi\u00f3 un terrible error. La conversi\u00f3n a Unicode se realizaba despu\u00e9s
\nde la comprobaci\u00f3n de la existencia de los caracteres \u00ab..\/..\u00bb. Por tanto
\nel problema volvi\u00f3 a surgir, y de nuevo, era posible entrar en un
\nservidor gracias a peticiones del tipo:<\/p>\n