Beveiligingsonderzoeker Nikalaos Rangos heeft een zeer ernstig lek in versie 6.0 van Microsoft's Internet Information Services webserver ontdekt, waardoor een aanvaller toegang tot met wachtwoord beveiligde mappen krijgt en willekeurige bestanden kan up- en downloaden. De kwetsbaarheid wordt veroorzaakt door de WebDAV functionaliteit van IIS, hoewel die niet standaard staat ingeschakeld. Door het toevoegen van verschillende Unicode karakters aan een URL, is het mogelijk om de beveiliging te omzeilen, zo ontdekte Rangos, die ook onder het alias Kingcope bekend staat.

De kwetsbaarheid lijkt erg veel op een lek dat in 2001 in IIS4/5 werd ontdekt, maar is volgens de Luxemburgse onderzoeker Thierry Zoller niet helemaal gelijk. Zolang er geen update voor het lek beschikbaar is, zouden beheerders WebDAV kunnen uitschakelen, maar als er Sharepoint service draaien kan dit problemen geven. IIS 7.0 is niet kwetsbaar. Microsoft's webserver heeft volgens deze statistieken een marktaandeel van zo'n 30%, ruim 15% minder dan koploper Apache.
 
Bron: Security.nl

Related articles

Popular articles