1. Thông tin chung

Ngày 01/09/2009, lỗ hổng zero-day trong dịch vụ FTP của phần mềm IIS đã được công bố cùng với mã khai thác. Đây là lỗ hổng nghiêm trọng cho phép hacker dễ dàng tấn công và kiểm soát máy chủ IIS từ xa. Đây là một lỗ hổng nghiêm trọng, có thể ảnh hưởng tới nhiều hệ thống máy chủ Web tại Việt Nam, vì phần lớn máy chủ cài IIS đều có cài thêm dịch vụ FTP của Microsoft.
 

2. Mô tả kỹ thuật

IIS (hay Internet Information Server) là phần mềm cung cấp các dịch vụ máy chủ Internet của Microsoft như HTTP, FTP, SMTP… Lỗ hổng zero-day được phát hiện nằm trong quá trình xử lý giao thức FTP của IIS.

Cụ thể, giao thức FTP hỗ trợ một câu lệnh như sau: NLST [remote-directory]. Câu lệnh trên cho phép FTP client liệt kê các file có trong thư mục [re mote-directory] trên máy chủ.

Dịch vụ FTP của IIS cũng hỗ trợ câu lệnh này, tuy nhiên với một đường dẫn [remote-directory] đặc biệt và dài “quá khổ”, IIS đã xử lý không tốt dẫn đến lỗi tràn bộ đệm cho phép chuyển điều khiển đến mã độc.

Lợi dụng lỗ hổng này, hacker có thể dễ dàng tấn công các máy chủ IIS có hỗ trợ FTP bằng cách thực hiện kết nối, đăng nhập và gửi lệnh NLST chứa mã độc nhằm kiểm soát toàn bộ máy chủ IIS. Lỗ hổng này sẽ đặc biệt nghiêm trọng nếu IIS cho phép các kết nối mà không cần quyền xác thực (anonymous).

3. Cập nhật bản vá

Đánh giá đây là lỗ hổng đặc biệt nghiêm trọng và việc Microsoft chưa thể đưa ra bản vá, Bkis khuyến cáo các quản trị mạng của các đơn vị, các cá nhân nên ngừng sử dụng chức năng FTP của IIS cho đến khi có bản vá chính thức.
 

Bkis Security