En la última RootedCON, cuando impartí el RootedLab de FOCA para hacer una auditoría de seguridad web, les dije que igual que nosotros habíamos estado testeando nuestra herramienta con Apple, probablemente encontraran muchas cosas en muchos lugares de grandes empresas. Y así fue.
Uno de ellos fue en la web de Microsoft, y quedamos en que se lo reportaríamos por si querían arreglarlo. El fallo es un bug de IIS Short name en el dominio windows.microsoft.com que permite que se listen los ficheros de las carpetas en formato 8:3 haciendo un ataque a ciegas, aún cuando el administrador del sitio haya configurado el servidor para que no se muestren los listados de directorios.
Figura 1: Valores True y False en ataques al bug de IIS Short name |
El bug se conoce desde hace ya año y medio, y sin embargo aún habiéndoselo reportado Microsoft ha decidido no corregir este pequeño issue en su sitio web - algo que difiere con lo que hizo Apple en su servidor cuando se lo notificamos -, con lo que se puede usar el plugin de IIS Short Name Fuzzer de la FOCA PRO para sacar el listado de los archivos que hay en ese servidor.
Figura 2: Respuesta del MSRC ante el reporte de este bug |
Las respuestas positivas y negativas a la hora de implementar un algoritmo de extracción blind son bastante sencillas. En ese servidor, cuando existe un nombre de archivo que en formato 8:3 coincide, entonces el servidor contesta con un mensaje de error que deja la página en blanco.
Figura 3: Respuesta True, existe un fichero o carpeta que comienza por aspnet* |
Cuando, por el contrario, no existe ningún fichero que concuerde con esa cadena 8:3, entonces el servidor IIS arroja una respuesta de Error 500 en la página web.
Figura 4: Respuesta False, NO existe un fichero o carpeta que comience por aXpnet* |
Con esto, es fácil implementar la lógica para extraer todos los ficheros de esa carpeta, que a día de hoy no son demasiados, pero como prueba de concepto de que el bug anula una de las características de seguridad de IIS y debería ser arreglado, es más que suficiente.
Figura 5: Listado hecho con FOCA |
Y esa es toda la historia. Un bug de IIS Short Name 8:3 que tienen los servidores de Microsoft que queda sin parchear, y el mismo bug en un dominio de Apple que es parcheado. Curioso cuanto menos.
Saludos Malignos!
Hablamos de Microsoft... ¿de verdad te parece curioso?
ResponderEliminarA mí no.
¿Y eso es un bug? Obtener seminombres (por más que nos vendas la moto).
ResponderEliminar@Anonimo 1, sí, que Apple corrija un bug y Microsoft no, es cuanto menos, novedoso }:))
ResponderEliminar@Anonimo 2, busca en la base de datos de CWE y me cuentas si es un bug o no.
Saludos!
De todas formas ¿Qué haces tirando la foca contra Microsoft? ¿No os dan curro ahí en Telefónica?
ResponderEliminar@Anónimo, la captura es del mes de Marzo, del Rootedlab, como pone al principio del artículo. Amigo "Anónimo". }:)
ResponderEliminarSaludos!
Entonces no os daban curro en I64???
ResponderEliminar@Anónimo. Sí, claro, y unos meses después me dieron el MVP de Enterprise Security, y ahora en Eleven Paths somos Gold Partner en Seguridad, etc... Nuestra relación sigue siendo excelente, como durante los últimos 12 años.
ResponderEliminarSaludos!