[SECURITY-L] CAIS-Alerta: Vulnerabilidade em Microsoft Internet Information Services (IIS)

CSIRT - UNICAMP security em unicamp.br
Qua Maio 20 14:33:48 -03 2009 

----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----

From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject:  CAIS-Alerta: Vulnerabilidade em Microsoft Internet Information
 Services (IIS)
To: pop-seg em cais.rnp.br, rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Wed, 20 May 2009 12:11:04 -0300 (BRT)

-----BEGIN PGP SIGNED MESSAGE-----


Prezados,

O CAIS esta' repassando o boletim da Microsoft, intitulado "Vulnerability 
in Internet Information Services Could Allow Elevation of Privilege 
(971492)", que trata de uma vulnerabilidade moderada nas versoes 5.0, 5.1 
e 6.0 do servidor Web Microsoft Internet Information Services (IIS).

Web-based Distributed Authoring and Versioning, ou simplesmente WebDAV, e' 
uma extensao do protocolo HTTP que permite que usuarios editem e gerenciem 
arquivos colaborativamente em servidores Web.

Foi descoberta uma vulnerabilidade na maneira como a extensao WebDAV do 
IIS trata requisicoes do protocolo HTTP.

Esta vulnerabilidade permite a elevacao de privilegios. Um atacante pode 
criar requisicoes HTTP anonimas que explorem esta vulnerabilidade. Nao ha' 
relatos de exploracao desta vulnerabilidade no momento.

Este boletim de seguranca foi divulgado fora do ciclo mensal de boletins 
de seguranca, por esta razao o CAIS recomenda a aplicacao imediada da 
correcao.


SISTEMAS AFETADOS

. Microsoft Internet Information Services 5.0
. Microsoft Internet Information Services 5.1
. Microsoft Internet Information Services 6.0


CORRECOES DISPONIVEIS

Recomenda-se atualizar os sistemas para as versoes disponiveis em:

. Microsoft Windows Update
  http://windowsupdate.microsoft.com/

Caso nao seja possivel realizar a atualizacao e' possivel mitigar a 
vulnerabilidade simplesmente desabilitando WebDAV no sistema afetado.

. IIS 5.0 e 5.1: WebDAV pode ser desabilitado conforme descrito em:

  Help and Support - How to disable WebDAV for IIS 5.x
  http://support.microsoft.com/kb/241520

. IIS 6.0: WebDAV pode ser desabilitado pelo MMC, no snap-in 
  "IIS Manager". Em "Web Service Extensions" selecionar "Prohibit" para o 
  item "WebDAV".

Para mais informacoes por favor consulte a secao "General Information", 
"Suggested Actions", "Workarounds" do boletim original da Microsoft.


MAIS INFORMACOES

. Vulnerability in Internet Information Services Could Allow Elevation of Privilege (971492)
  http://www.microsoft.com/technet/security/advisory/971492.mspx

. Microsoft IIS 6.0 WebDAV Remote Authentication Bypass (VU#787932)
  http://www.kb.cert.org/vuls/id/787932

. SANS ISC Handler's Diary 2009-05-15: IIS6.0 WebDav Remote Auth Bypass
  http://isc.sans.org/diary.html?storyid=6397

. Microsoft Security Vulnerability Research & Defense
  http://blogs.technet.com/swi/

. Microsoft Brasil Security
  http://www.microsoft.com/brasil/security

. Technet Brasil - Central de Seguranca
  http://www.technetbrasil.com.br/seguranca

. Windows Live OneCare
  http://safety.live.com/site/pt-BR/default.htm


Identificador CVE (http://cve.mitre.org): CVE-2009-1535


O CAIS recomenda que os administradores mantenham seus sistemas e 
aplicativos sempre atualizados, de acordo com as ultimas versoes e 
correcoes oferecidas pelos fabricantes.


Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml


Atenciosamente,

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais em cais.rnp.br       http://www.cais.rnp.br                #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)
Comment: Made with pgp4pine 1.76

iQCVAwUBShQdlOkli63F4U8VAQHzIQQAhjwd+KtZmzSjrdoWJLS2Lu8hJ3Od5AbK
nnI3Yi45pZ2xzmxFSYpY8eNKexRcUY+PHeYxJzrXkENubb/tVmxu5AKzRxOKIt9o
jQtmUIt7KjSIRUgC3tehn+eTZ0lURWq0dWdgnC43Y8fLxn2fn2B52qDVDVTKilAl
w5YarFgJbhQ=
=0OkW
-----END PGP SIGNATURE-----


----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L