Web-based Distributed Authoring and Versioning (hay WebDAV) là thành phần mở rộng của IIS cho phép người sử dụng có thể quản lý file (xóa, chỉnh sửa, …) trên máy chủ web. Lỗ hổng này xảy ra trong quá trình xử lý ký tự unicode %c0%af (Unicode / character).
Cho phép kẻ tấn công có thể vượt qua cơ chế bảo vệ để liệt kê thư mục, file; đọc file, tạo file,...
Lỗ hổng này mới được phát hiện và chưa có bản vá. Theo nghiên cứu của chúng tôi lỗ hổng này thuộc loại nguy hiểm.
Tại Việt Nam đã có nhưng site bị tấn công đầu tiên như
anhso.net (23/05) (có video demo).
Chúng tôi cũng phát hiện nhiều server quan trọng của các bộ ngành, doanh nghiệp, các cơ quan ... bị lỗ hổng này.
Tôi xin tóm tắt lộ trình lỗ hổng này như sau :
Lỗ hổng này được phát hiện ngày 12-05-2009 bởi Kingcope
Ngày 15-04-2009 được đưa lên
Milw0rm.com :
http://milw0rm.com/exploits/8704Ngày 18-05-2009 :
CVE đưa ra cảnh báo,
Microsoft cũng chính thức đưa ra cảnh báo lỗi này.
Ngày 20-05-2009 : có hướng dẫn cách khai thác đầu tiên
http://www.skullsecurity.org/blog/?p=285Ngày 21/22-05-2009 : có 2 exploit trên milw0rm :
exploit bằng cadaver pathed (1 client của WebDAV chạy trên linux),
exploit bằng phpExploit it!Các bước tấn công được mô tả kỹ trong tài liệu
WebDAV Detection, Vulnerability Checking and Exploitation gồm 3 bước chính:
- Phát hiện server chạy WebDAV
Dùng nmap để quét hoặc một số chương trình quét bảo mật như Acunetix (windows)...
Lưu ý :phiên bản tối thiểu là 4.85 và có cài thêm script
http-iis-webdav-vuln hướng dẫn dùng nmap để quét (làm theo đúng tài liệu này)
- Phát hiện server bị lỗi : xử dụng nmap
- Khai thác (exploit)
Dùng cadaver hoặc exploit php ở trên
Hình ảnh scan bằng nmap
Hình ảnh minh họa list file và đọc file với lỗ hổng webdav dùng client cadaver
Khắc phụcHiện tại chưa có bản vá nên cần tắt webdav đi.
vào IIS --> Local Computer -->Web Service Extension --> tắt WebDav
Hoặc:
Start > Run > regedit
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameter.
DisableWebDAV --> 1