关于IIS认证绕过的更多信息
安全公告971492提供了关于新IIS认证绕过漏洞的官方指南。我们希望通过这篇博客更详细地帮助您理解:
- 我是否面临风险?如果是,可能发生什么?
- 如何保护自己?
哪些IIS配置面临风险?
只有特定的IIS配置面临此漏洞的风险。首先,我们列出不受风险的配置,以便部分读者可以快速停止担心您的Web服务器:
- 未运行WebDAV的IIS服务器是安全的。
- Windows Server 2003 IIS(版本6)默认禁用WebDAV。
- 未使用IIS权限限制内容仅对认证用户访问的IIS服务器是安全的。
- 未授予文件系统访问权限给IUSR_[MachineName]帐户的IIS服务器是安全的。
- 仅使用基于表单认证托管Web应用程序的IIS服务器可能是安全的。
如果您的Web服务器满足以下所有条件,您需要继续阅读:
- 如果IIS 5、5.1或6.0 Web服务器启用了WebDAV;
- 并且IIS服务器使用IIS权限限制内容的子文件夹仅对认证用户访问;
- 并且文件系统访问权限授予了受限内容给IUSR_[MachineName]帐户;
- 并且私有子文件夹的父文件夹允许匿名访问;
- 那么匿名远程用户可能能够利用此漏洞访问通常仅提供给认证Web服务器用户的文件。
此漏洞主要是一个信息泄露威胁。
信息泄露漏洞是否完全绕过认证机制?
不完全是这样。格式错误的URL导致IIS访问检查错误地使用父目录的IIS元数据库访问密钥进行。
发送到易受攻击的IIS服务器的恶意HTTP请求最终由Web服务器和WebDAV扩展评估。当WebDAV扩展尝试规范化URL时,它以这样一种方式修改URL,即访问检查使用父目录的权限进行,但IIS提供子目录中的文件。因此,最可能的攻击是恶意匿名用户请求使用IIS权限限制仅对认证用户访问的Web服务器子目录的内容。Web服务器的根通常授予匿名用户帐户读取访问权限,因此此漏洞将允许使用Web服务器根的权限(允许匿名访问)访问受保护的子目录。
为什么说“主要是一个信息泄露威胁”?还可能发生什么?
我们仍在调查使用此漏洞可能的不同攻击想法,但原始报告声称可以上传和修改文件。然而,我们发现IIS安装程序应用了一个NTFS访问控制条目,明确拒绝匿名帐户(IUSR_[MachineName])在wwwroot和继承wwwroot ACL的子目录中的写入访问权限。因此,在默认情况下,此漏洞不会允许恶意攻击者上传或修改网页。
缓解措施和变通方案
在本博客文章的开头,我们列出了不受此漏洞影响的IIS配置。每个项目都可以转化为变通方案或缓解措施。
变通方案
变通方案#1:关闭WebDAV
如果您不使用WebDAV或可以在安全更新可用之前不使用它,关闭WebDAV可能是一个好选择。您可以在http://support.microsoft.com/kb/241520找到说明。
变通方案#2:更改文件系统ACL以拒绝IUSR_[MachineName]的访问
请记住,IIS提供的文件有两个级别的权限。首先,用户必须被NTFS文件系统授予访问权限,然后才检查IIS元数据库中的权限。如果您拒绝Web服务器匿名帐户(IUSR_[MachineName])的访问,此漏洞绕过的访问检查将无法达到。您可以在http://support.microsoft.com/kb/271071找到关于强化Web服务器文件系统权限的说明。
变通方案#3:使用URLScan阻止恶意请求
URLScan帮助保护受影响的系统免受利用此漏洞的尝试。您可以在http://technet.microsoft.com/en-us/security/cc242650.aspx找到部署URLScan的说明。
缓解措施
缓解措施#1:WebDAV在IIS 6(随Windows Server 2003提供)上默认禁用。
缓解措施#2:如果Web服务器不使用IIS权限限制内容访问,此漏洞不相关。
缓解措施#3:如果网站使用基于表单的认证,此漏洞可能不相关。
此访问检查绕过漏洞最可能影响实现基本、摘要或集成认证的网站。大多数基于Internet的网站使用基于表单的认证(用户名/密码表单输入到服务器端网页)。在PREPROC_HEADERS上实现为ISAPI过滤器的表单认证模式不会受此漏洞影响。然而,在ISAPI扩展中实现的表单认证模式会受到影响,因为WebDAV仍然会收到请求。
缓解措施#4:IIS安装程序默认拒绝匿名帐户的写入访问(防止使用此漏洞上传或修改网页)。
感谢IIS团队的Wade Hilmo和Nazim Lala帮助调查此问题。
如果您有任何问题,请发送至secure@microsoft.com。谢谢。
- Jonathan Ness, MSRC Engineering 发布内容“按原样”提供,不提供任何保证,也不授予任何权利。