 Con il nuovo Security Advisory 971492, Microsoft ha informato i suoi client di nuove segnalazioni pubbliche relative ad una nuova vulnerabilità che affligge il software Microsoft Internet Information Services (IIS). Una vulnerabilità di elevazione di privilegi interessa il modo in cui l'estensione WebDAV per IIS gestisce le richieste http. Un attacker potrebbe sfruttare la falla creando una richiesta anonima HTTP modificata ad arte, ed accedere ad una location che tipicamente richiese autenticazione.
 Falla ed Exploit per PowerPoint - Gmail: CSRF in Change Password - Altre
Microsoft afferma di non essere a conoscenza di attacchi che stanno tentando di utilizzare questa vulnerabilità o di altro eventuale impatto sugli utenti. L'azienda sta attualmente indagando sulle segnalazioni, anche con i partner del Microsoft Active Protections Program (MAPP) e Microsoft Security Response Alliance (MSRA) Program, per fornire una soluzione per la problematica.
A conclusione delle indagini, Microsoft intraprenderà l'azione adeguata per proteggere i clienti. Questo potrebbe include il rilascio di un aggiornamento di protezione nell'ambito del processo di release mensile o di un aggiornamento di emergenza a out-of-cycle, in base alle necessità dei clienti.
Microsoft elenca nel Security Advisory alcuni fattori attenuanti per la vulnerabilità: 1. La vulnerabilità non aggira la verifica di sistema ACL che stabilisce l'accessibilità di un file per un dato utente. 2. All'account utente anonimo non vengono garantiti diritti di accesso in scrittura ACL. 3. WebDAV non è attivato in modo predefinito su IIS 6.0.
Il colosso di Redmond offe inoltre nell'advisory di sicurezza alcune soluzioni alternative con istruzioni: 1. Disattivare WebDAV (con due metodi alternativi per IIS 5.0, IIS 5.1 e IIS 6.0). 2. Modificare le ACL di file system per impedire accesso agli account utente anonimi.
Tutti i dettagli sono disponibile nel Security Advisory 971492. |
|
non ci sono commenti
