25 de diciembre de 2010

VULNERABILIDAD DEL SERVICIO “ FTP en IIS 7.x “

El investigador Matthew Bergin ha descubierto una vulnerabilidad en el servicio FTP integrado en la versión 7.5 de IIS en Windows 7 haciendo público todos los detalles técnicos y el exploit.


Detalles técnicos:

  • El fallo se debe a un desbordamiento de memoria intermedia en la función 'OnSendData'.
  • Este fallo podría ser aprovechado por un atacante remoto (sin necesidad de poseer usuario en ese FTP) para causar una denegación de servicio a través de peticiones de usuario especialmente manipuladas.
  • Por tratarse de un desbordamiento de memoria intermedia podría llegar a permitir la ejecución de código arbitrario, pero de momento, no ha sido demostrado que pueda ser explotado con dicho fin.
Software afectado:

Microsoft incluye el "paquete" IIS, en:

  1. El servidor web IIS y un servidor FTP que no se instala por defecto.
  2. La versión 7.5 de IIS se encuentra disponible para Windows 2008 y Windows 7.
Fuente: Hispasec