Con questo tipo di attacco è possibile modificare da remoto in modo del tutto
anonimo gli account degli utenti locali del server anche se questo è protetto da
un firewall.
Durante la normale installazione di IIS 4 viene creata un
directory virtuale chiamata "/IISADMPWD" che mappa fisicamente l'omonima
directory generalmente presente nel path %SYSTEM32%INETSRV.
All'interno di
questa directory sono presenti una serie di risorse con estensione .htr che in
realtà sono quasi tutti varianti di uno stesso file:
achg.htr
aexp.htr
aexp2.htr
aexp2b.htr
aexp3.htr
aexp4.htr
aexp4b.htr
anot.htr
anot3.htr
Fondamentalmente questi file consentono agli utenti di cambiare la loro
password via web e poiché l'accesso non è limitato al solo indirizzo di loopback
(127.0.0.1) essi possono essere utilizzati in modo del tutto anonimo anche da un
aggressore per tentare di cambiare le credenziali degli utenti di sistema od
indovinare la password dell'utente amministratore.
Inoltre, usando un
indirizzo IP in combinazione con l'account di un utente, il server IIS cercherà
di contattare la macchina remota utilizzando una sessione nulla NetBIOS al fine
di cambiare la password dell'utente.
Rimedi:
Rimuovere la
directory virtuale "IISADMPWD" se il servizio di cambio password da
remoto non è indispensabile oppure, in caso contrario, disabilitare il servizio
workstation in modo da consentire soltanto la modifica delle password degli
account locali al server. Se invece si vuol dare la possibilità di cambiare
le password sulla macchina remota, la migliore cosa da fare, è limitare il
traffico sulla porta 139 (NETBIOS).
