Microsoft Index Server .ida
Los productos de Microsoft siguen dando sorpresas en aspectos de seguridad. En este caso analizamos un fallo en el servicio de indexación de Microsoft que deja vulnerable a su servidor Web Internet Information Server (IIS).
Como parte del proceso de instalación, IIS instala diversas extensiones ISAPI –dll que proporcionan funcionalidad extra– entre las cuales se encuentra idq.dll, un componente de Index Server (conocido en Windows 2000 como Indexing Service) que proporciona soporte para scripts administrativos (archivos .ida) y consultas a través de Internet (archivos .idq).
Existe una vulnerabilidad en la librería idq.dll basada en un desbordamiento de la pila o buffer overrun en la sección de código que interpreta las direcciones URL de entrada. Si un atacante es capaz de establecer una comunicación HTTP con el servidor –si tiene acceso a la web del servidor valdría– en el cual esté instalada la librería idq.dll podría proporcionar al atacante el control total de la máquina y realizar cualquier acción que deseara en él.
Sistemas afectados
El software afectado por este fallo es Microsoft Index Server 2.0 e Indexing Service en Windows NT y en Windows 2000, respectivamente. Su principal función es la habilidad de establecer búsquedas de datos en un sitio web o en un servidor. Esto permite a los usuarios usar un navegador para buscar documentos introduciendo palabras clave, frases, etc.
Index Server 2.0 no es parte integral de Windows NT 4.0, en cambio está disponible como parte del paquete opcional Windows NT 4.0 Option Pack en el cual se incluye a su vez IIS 4.0.
Indexing Service es un servicio nativo de Windows 2000 y como tal se vende como parte de esta plataforma.
En Windows 2000 se pueden encontrar dos panoramas dependiendo de la versión: en Windows 2000 Server, Advanced Server y Datacenter, IIS 5.0 se instala como parte del sistema incluyendo la librería idq.dll en la instalación por defecto haciendo estos sistemas vulnerables; en cambio, las instalaciones por defecto de Windows 2000 Profesional no son vulnerables ya que IIS 5.0 no se instala en este sistema, pero si lo ha instalado posteriormente sí será vulnerable.
Incluso el nuevo sistema de Microsoft Windows XP que incorpora la versión 6.0 del sistema de información de Microsoft (IIS) es vulnerable a este fallo, aunque la versión probada fue Beta y no la final por lo que no podemos asegurar se resolverá este fallo o no.
A parte de los sistemas de Microsoft, existen en el mercado productos de CISCO que usan IIS como servidor para su interface gráfico que también están afectados, son los siguientes:
• Cisco CallManager.
• Cisco Unity Server.
• Cisco uOne.
• Cisco ICS7750.
• Cisco Building Broadband Service Manager.
Si dispone de alguno de estos productos en su empresa puede descargar el parche apropiado de la página web de Cisco: www .cisco.com/warp/public/707/sec_inciden _response.shtml.
Descripción técnica
La librería idq.dll se ejecuta en el contexto operativo del sistema, por lo que al aprovechar esta vulnerabilidad se consiguen privilegios de administrador.
El error por buffer overrun ocurre antes de efectuarse ninguna operación de indexación. Como resultado, debido a que idq.dll es un componente de Index Server / Indexing Service, el servicio no necesita estar en funcionamiento para consumar esta vulnerabilidad, para ello simplemente bastaría con tenerlo instalado como se describe en el punto anterior.
El problema de la librería en cuestión se produce cuando las peticiones de entrada son procesadas, es decir, al pasar una dirección URL al IIS.
El ejemplo siguiente producirá este buffer overflow al acceder a un servidor Web mediante el protocolo telnet al puerto 80, causando que IIS sobrescriba el registro de la CPU Extended Intruction Pointer (EIP):
GET /NULL.ida?[buffer]=X HTTP/1.1
Donde buffer es aproximadamente 240 bytes.
El desbordamiento de buffer se produce en una operación de interpretación de caracteres de la librería en la que se convierte una cadena de caracteres ASCII (1 byte por caracter) en UNIDCODE (2 bytes por carácter); por ejemplo una cadena como AAAA se transformaría en \0A\0A\0A\0A. En esta transformación, la longitud de los buffers no son comprobadas eficazmente y causa que se sobrescriba el EIP.
De esta manera, es posible efectuar una operación de salto (JMP) para que el registro del procesador apunte a un código generado por el atacante insertado en el buffer en el cual es posible ejecutar cualquier programa.
Conclusión
Claramente, esta es una seria vulnerabilidad y Microsoft recomienda que se apliquen los parches correspondientes lo antes posible. Para Windows NT 4.0 deberá descargar el parche de la dirección www.microsoft.com/Downloads/Release.asp?ReleaseID=30833. y para Windows 2000 de www.microsoft.com/Downloads/Release.asp?ReleaseID=30800.
Los usuarios que por alguna razón se vean incapaces de instalar el parche en el sistema pueden borrar manualmente las asociaciones de los tipos de archivo .ida y .idq en la configuración de IIS siguiendo estos pasos:
1. Abra la consola de Administración de Servicios de Internet.
2. Pulse con el botón derecho en el servidor de Web a parchear y después en Propiedades.
3. Seleccione Configuración en la pestaña “Directorio Inicial”.
4. Borre las entradas .ida y .idq
De este modo eliminará la vulnerabilidad tem
Como parte del proceso de instalación, IIS instala diversas extensiones ISAPI –dll que proporcionan funcionalidad extra– entre las cuales se encuentra idq.dll, un componente de Index Server (conocido en Windows 2000 como Indexing Service) que proporciona soporte para scripts administrativos (archivos .ida) y consultas a través de Internet (archivos .idq).
Existe una vulnerabilidad en la librería idq.dll basada en un desbordamiento de la pila o buffer overrun en la sección de código que interpreta las direcciones URL de entrada. Si un atacante es capaz de establecer una comunicación HTTP con el servidor –si tiene acceso a la web del servidor valdría– en el cual esté instalada la librería idq.dll podría proporcionar al atacante el control total de la máquina y realizar cualquier acción que deseara en él.
Sistemas afectados
El software afectado por este fallo es Microsoft Index Server 2.0 e Indexing Service en Windows NT y en Windows 2000, respectivamente. Su principal función es la habilidad de establecer búsquedas de datos en un sitio web o en un servidor. Esto permite a los usuarios usar un navegador para buscar documentos introduciendo palabras clave, frases, etc.
Index Server 2.0 no es parte integral de Windows NT 4.0, en cambio está disponible como parte del paquete opcional Windows NT 4.0 Option Pack en el cual se incluye a su vez IIS 4.0.
Indexing Service es un servicio nativo de Windows 2000 y como tal se vende como parte de esta plataforma.
En Windows 2000 se pueden encontrar dos panoramas dependiendo de la versión: en Windows 2000 Server, Advanced Server y Datacenter, IIS 5.0 se instala como parte del sistema incluyendo la librería idq.dll en la instalación por defecto haciendo estos sistemas vulnerables; en cambio, las instalaciones por defecto de Windows 2000 Profesional no son vulnerables ya que IIS 5.0 no se instala en este sistema, pero si lo ha instalado posteriormente sí será vulnerable.
Incluso el nuevo sistema de Microsoft Windows XP que incorpora la versión 6.0 del sistema de información de Microsoft (IIS) es vulnerable a este fallo, aunque la versión probada fue Beta y no la final por lo que no podemos asegurar se resolverá este fallo o no.
A parte de los sistemas de Microsoft, existen en el mercado productos de CISCO que usan IIS como servidor para su interface gráfico que también están afectados, son los siguientes:
• Cisco CallManager.
• Cisco Unity Server.
• Cisco uOne.
• Cisco ICS7750.
• Cisco Building Broadband Service Manager.
Si dispone de alguno de estos productos en su empresa puede descargar el parche apropiado de la página web de Cisco: www .cisco.com/warp/public/707/sec_inciden _response.shtml.
Descripción técnica
La librería idq.dll se ejecuta en el contexto operativo del sistema, por lo que al aprovechar esta vulnerabilidad se consiguen privilegios de administrador.
El error por buffer overrun ocurre antes de efectuarse ninguna operación de indexación. Como resultado, debido a que idq.dll es un componente de Index Server / Indexing Service, el servicio no necesita estar en funcionamiento para consumar esta vulnerabilidad, para ello simplemente bastaría con tenerlo instalado como se describe en el punto anterior.
El problema de la librería en cuestión se produce cuando las peticiones de entrada son procesadas, es decir, al pasar una dirección URL al IIS.
El ejemplo siguiente producirá este buffer overflow al acceder a un servidor Web mediante el protocolo telnet al puerto 80, causando que IIS sobrescriba el registro de la CPU Extended Intruction Pointer (EIP):
GET /NULL.ida?[buffer]=X HTTP/1.1
Donde buffer es aproximadamente 240 bytes.
El desbordamiento de buffer se produce en una operación de interpretación de caracteres de la librería en la que se convierte una cadena de caracteres ASCII (1 byte por caracter) en UNIDCODE (2 bytes por carácter); por ejemplo una cadena como AAAA se transformaría en \0A\0A\0A\0A. En esta transformación, la longitud de los buffers no son comprobadas eficazmente y causa que se sobrescriba el EIP.
De esta manera, es posible efectuar una operación de salto (JMP) para que el registro del procesador apunte a un código generado por el atacante insertado en el buffer en el cual es posible ejecutar cualquier programa.
Conclusión
Claramente, esta es una seria vulnerabilidad y Microsoft recomienda que se apliquen los parches correspondientes lo antes posible. Para Windows NT 4.0 deberá descargar el parche de la dirección www.microsoft.com/Downloads/Release.asp?ReleaseID=30833. y para Windows 2000 de www.microsoft.com/Downloads/Release.asp?ReleaseID=30800.
Los usuarios que por alguna razón se vean incapaces de instalar el parche en el sistema pueden borrar manualmente las asociaciones de los tipos de archivo .ida y .idq en la configuración de IIS siguiendo estos pasos:
1. Abra la consola de Administración de Servicios de Internet.
2. Pulse con el botón derecho en el servidor de Web a parchear y después en Propiedades.
3. Seleccione Configuración en la pestaña “Directorio Inicial”.
4. Borre las entradas .ida y .idq
De este modo eliminará la vulnerabilidad tem
