Вот уже по крайней мере неделю в онлайновых конференциях обсуждается серьезная дыра в защите Web-сервера Microsoft. Она позволяет злоумышленникам читать и выполнять файлы на Web-сайтах, просто обращаясь к определенному Web-адресу.
Во вторник Microsoft опубликовала бюллетень, посвященный этой проблеме, в котором просит заказчиков залатать свои системы и предупреждает: "Не стоит недооценивать разрушения, которые может произвести злоумышленник".
Ежедневно выявляются десятки пробелов в защите - в большинстве случаев энтузиастами, которые немедленно сообщают о них софтверным компаниям. Однако некоторые проблемы становятся достоянием хакеров и держатся в секрете. Это так называемые дыры zero-day, которые недобросовестные программисты могут использовать, зная, что известной заплатки для них нет.
Проблема, о которой идет речь, открыто обсуждается в кругу хакеров. В субботу, воскресенье и понедельник тысячи представителей службы связи с заказчиками Microsoft связывались с клиентами во всем мире, убеждая их в необходимости немедленно установить заплатку. "Мы говорили им: "Позвоните своим заказчикам, разбудите их, пусть они залатают свои системы - дело очень серьезное", - рассказывает сотрудник бригады экстренной технической помощи Microsoft Скотт Калп (Scott Culp).
Дыра позволяет злоумышленнику, вооруженному единственным URL со специальными символами, получить доступ к любому файлу на Web-сервере. Он может исполнять программы, хотя и не видит паролей администратора. По счастливой случайности заплатка, которую Microsoft выпустила еще в августе, решает и эту проблему. Но многие заказчики так и не установили ее.
Первое упоминание о проблеме появилось 10 октября в анонимном сообщении на хакерской доске объявлений, автор которого утверждал, что он может выполнять команды на Web-серверах под Microsoft, просто добавив определенную строку в конец Web-адреса. Этим заинтересовался некто Rain Forest Puppy, который в прошлую пятницу привлек к этой проблеме внимание Microsoft.
Считается, что Web-сервер Microsoft IIS отвергает запросы к любому файлу, не высвечиваемому на Web-странице. Но, добавив к URL некоторые специальные символы, можно обмануть фильтр, предупреждающий такие запросы. Это позволяет видеть файлы, расположенные на жестком диске, обслуживающем Web-страницы.
По словам Калпа, Microsoft изучала содержание хакерских дискуссий весь уикэнд, но не нашла там точных указаний на то, как пользоваться этой дырой. "Нельзя сказать, как широко распространились эти сведения", - говорит он.
По информации "ZDNet".
