Desde hace unos días, estamos viviendo una especie de desafortunada vuelta a principios de esta década por culpa de un grave fallo de seguridad en Internet Information Server, el servidor web de Microsoft. Se ha descubierto una vulnerabilidad "como las de antes" y, lo peor, aprovechando fallos y problemas que parecían pertenecer ya al pasado, como de otro tiempo. Al parecer, el fallo está disparando el número de "desfiguraciones" (defaces) en servidores web con IIS en los últimos días.

A cualquiera que esté al tanto de las noticias sobre seguridad le sonará que las palabras IIS, WebDAV, unicode y la cabecera "Translate:f" (parte del protocolo WebDAV) son términos que juntos, no han traído nunca nada bueno al servidor de Microsoft en los últimos años. La vulnerabilidad que acaba de ser descubierta combina todos esos elementos. Se ha encontrado un fallo en IIS 6.x a la hora de procesar peticiones http especialmente manipuladas con la cabecera "Translate:f" y con caracteres Unicode. Esto puede permitir a un atacante eludir la autenticación (y subir ficheros si lo permiten los permisos) al disparar un problema de validación en WebDAV.

Vamos a dar un pequeño repaso a las vulnerabilidades que se basaban en alguno de los elementos que Microsoft nunca manejó (ni maneja, por lo visto) demasiado bien...

Leer más...

Un artículo de lectura recomendable, no sólo por tratarse de un asunto de seguridad importante sino por el repaso que hace a la historia de este tipo de vulnerabilidades.

Un lamentable retroceso que nos devuelve, en palabras de Hispasec 10 años en temas de seguridad. Pone en evidencia también que precisamente las progresivas mejoras que Microsoft introdujo (aprendiendo de sus errores, que es la peor forma de aprender) ocasionaron que los ataques se trasladasen, bien al cliente (navegadores, lectores de PDF, Flash...), bien a aplicaciones web (principalmente en PHP) pero cada vez menos contra el servidor web en sí.

Y lo peor es que el resurgir de problemas a nivel de servidor (espero que pronto solucionable) no va a dejar que los ataques cesen contra nuestras aplicaciones favoritas.

Saludos.