1. Thông tin chung

Ngày 18/05/2009, Microsoft cảnh báo lỗ hổng của phần mềm máy chủ web IIS. Đây là lỗ hổng nghiêm trọng cho phép Hacker vượt qua cơ chế xác thực của IIS và lấy được các thông tin nhạy cảm được bảo vệ bởi IIS.
 

Ngày công bố	Phần mềm có lỗi và Nguy cơ	Mức độ nguy hiểm
18/05/2009	Microsoft Internet Information Services 5.0 Microsoft Internet Information Services 5.1 Microsoft Internet Information Services 6.0	Cao

2. Mô tả kỹ thuật

Web-based Distributed Authoring and Versioning (hay WebDAV) là thành phần mở rộng của IIS cho phép người sử dụng có thể quản lý file (xóa, chỉnh sửa, thêm…) trên máy chủ web. Lỗ hổng được tìm thấy nằm trong cơ chế xử lý giao thức HTTP của WebDAV.

Cụ thể, một yêu cầu HTTP từ phía người sử dụng sẽ được IIS đưa qua WebDAV xử lý, sau đó mới thực hiện xác thực quyền thực thi đối với yêu cầu. Tuy nhiên, với một HTTP lỗi, WebDAV sẽ xử lý không tốt dẫn đến việc sau đó IIS sẽ thực hiện ngay yêu cầu mà không cần sự xác thực.

Để khai thác lỗ hổng này, Hacker sẽ gửi một yêu cầu HTTP lỗi tới máy chủ Web. Từ đó, hắn có thể lấy được các thông tin nhạy cảm từ máy chủ Web mà không cần bất cứ quyền nào trên máy chủ.


3. Cập nhật bản vá

Đánh giá đây là lỗ hổng nghiêm trọng và hãng Microsoft chưa thể đưa ra ngay bản vá, Trung tâm An ninh mạng Bkis khuyến cáo các quản trị hệ thống nên tắt bỏ tạm thời thành phần WebDAV theo các bước sau:

+ Mở registry (Start > Run > regedit).
+ Mở khóa sau: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameter.
+ Sửa giá trị DisableWebDAV thành 1.

Thông tin chi tiết về cảnh báo này và hướng dẫn tắt WebDAV cho từng phiên bản IIS có thể xem tại đây.