Microsoft IIS web sunucusunda, sistemde komut çalıştırılmasına izin veren yeni bir “Sıfır Gün” güvenlik açığı yayınlandı. Henüz Microsoft tarafından güvenlik açığı doğrulanmadı ve bu nedenle henüz yayınlanmış bir yama bulunmuyor. Açığın kullanımı için hazırlanmış olan “Exploit” kodu ise Metasploit Framework paketine eklendiği doğrulandı.

Açığın oluşmasına neden olan sorun, sistem çekirdeğindeki güvenlik uzantılarının HTTP/1.1 ile gelen HEAD isteklerindeki Cookie başlık bilgisini hatalı yorumlamasından kaynaklanıyor. Özel üretilmiş bir paket kullanılarak sistem çekirdeğinin döngüye sokulması ve donanım seviyesinde sisteme erişim sağlanması mümkün görünmektedir. Güvenlik açığı Windows 2000, 2003, 2008 ve Vista üzerinde çalışmakta olan IIS sürümlerini etkilemektedir.

Saldırı tespit ve önleme sistemi geliştiricilerinin de konu ile ilgili araştırma yaptıkları, ancak henüz önleyici bir kural seti güncellemesi yayınlanmadığını da hatırlatalım.

Henüz açıklamalar netleşmese de kurumların Microsoft IIS kullanılan web sunucularını kapatması gerektiği birçok uzman tarafından ifade edilmiştir. Ayrıca 1 Nisan itibariyle hazırlanan ve duyurulan üçüncü parti bir yama ile Microsoft IIS’in güvenlik açığının giderilmesi mümkün görünmektedir. Yamanın sistem çekirdeğinin 2.6 serisi için hazırlandığı dikkate alınmalıdır
Kaynak: Siyahsapka