Memperbaiki kerentanan IIS tilde

9

Salah satu server IIS kami (IIS 7.5, Server 2008 R2) tampaknya "rentan" terhadap masalah pengungkapan nama file Short tilde .

Namun, saya mengalami kesulitan sebenarnya memperbaiki masalah ini. Sejauh ini, saya sudah

Dinonaktifkan 8.3 nama file, menghentikan server web, menciptakan kembali direktori situs dan memulai layanan lagi
Menambahkan aturan filter untuk tilde di URL:

masukkan deskripsi gambar di sini

Menambahkan aturan filter untuk tilde MANA SAJA:

masukkan deskripsi gambar di sini

IISRESET beberapa kali
Diperiksa yang web.configmemiliki aturan filter yang relevan ditambahkan

.. tapi tetap saja, saya tidak bisa membuat situs saya lulus tes :

java -jar ~/temp/IIS-ShortName-Scanner-master/IIS_shortname_scanner.jar http://www.example.com

[...SNIP...]

Testing request method: "TRACE" with magic part: "/webresource.axd" ...
Testing request method: "DEBUG" with magic part: "" ...
Testing request method: "OPTIONS" with magic part: "" ...
Testing request method: "GET" with magic part: "" ...
Reliable request method was found = GET
Reliable magic part was found = 
144 requests have been sent to the server:

<<< The target website is vulnerable! >>>

Apa lagi yang harus saya lakukan untuk menyelesaikan ini?

EDIT: ini DIR /xyang tampaknya tidak menunjukkan nama file 8.3:

masukkan deskripsi gambar di sini

dan inilah kumpulan aplikasi untuk situs (semua situs lain di server adalah sama):

masukkan deskripsi gambar di sini

EDIT2 : Verifikasi tidak ada 8,3 nama file tersisa:

masukkan deskripsi gambar di sini

security iis

— Ken
sumber

Cara cepat untuk memeriksa ulang apakah ada 8,3 nama dalam direktori dir /x. Situs Anda mungkin memiliki tautan simbolis ke direktori yang masih mengandung nama 8.3 yang dibuat secara otomatis.

— Brian

Tidak ada tanda-tanda nama file 8.3 aku takut :(

— KenD

Menginstal .NET 4.0 (yang tidak rentan terhadap eksploitasi ini) adalah pekerjaan umum lainnya untuk masalah ini. Sudahkah Anda mencobanya?

— HopelessN00b

.Net 4 diinstal, dan semua kumpulan aplikasi di server diatur untuk digunakan .NET Framework v4.0.30319- lihat tangkapan layar di edit di atas.

— KenD

4

Wow. Mungkin memegang sedotan di sini, tetapi apakah Anda yakin pemindai kerentanan yang Anda gunakan dapat diandalkan? Coba alat lain, atau coba jalankan serangan secara manual dan lihat apa yang Anda lihat.

— HopelessN00b

6

Cobalah memindai nama file pendek yang ada dengan fsutil:

fsutil 8dot3name scan /s /v E:\inetpub\wwwroot

Dan cabut mereka jika ditemukan:

fsutil 8dot3name strip /s /v E:\inetpub\wwwroot

Juga melihat log dengan bagian sihir kosong ( magic part: ""), saya ingin tahu apakah itu bug di POC. Baris ini di config.xml sepertinya memiliki koma ekstra setelah /webresource.axd:

<entry> key="magicFinalPartList">
 <![CDATA[\a.aspx,\a.asp,/a.aspx,/a.asp,/a.shtml,/a.asmx‌,/a.ashx,/a.config,/a.php,/a.jpg,/webresource.axd,,/a.xxx]]>
</entry>

Saya sudah bertanya dev. melalui Twitter tentang hal itu dan dia menjawab:

Untuk kasus yang jarang terjadi di mana tidak diperlukan ekstensi. Tapi, baru-baru ini yang menyebabkan lebih banyak masalah saja! Saya akan menghapusnya sekarang.

Saya menghapusnya dari file Config. Ini adalah keluhan ke-2 jadi ini adalah waktu yang tepat untuk perubahan ini.

Jadi, sepertinya Anda aman sekarang :)

— beatcracker
sumber

Takut tidak ada perubahan - lihat "EDIT2" di posting asli saya :(

— KenD

1

Melihat log dengan bagian sihir kosong ( magic part: ""), saya bertanya-tanya, mungkinkah itu bug di POC. Baris ini di config.xml sepertinya memiliki koma tambahan setelah /webresource.axd:

<entry key="magicFinalPartList"><![CDATA[\a.aspx,\a.asp,/a.aspx,/a.asp,/a.shtml,/a.asmx,/a.ashx,/a.config,/a.php,/a.jpg,/webresource.axd,,/a.xxx]]></entry>

— beatcracker

Itu sangat menarik - meskipun, melihat ke belakang melalui revisi, bahwa "koma ganda" telah ada dalam kode untuk sementara waktu. Menghapusnya berarti tes sekarang berjalan tanpa kesalahan yang jelas ...

— KenD

Ha, Anda aman, lihat pembaruan!

— beatcracker

Semua itu berhasil dan kami selamat :) :) Terima kasih atas bantuan Anda dan menghubungi dev!

— KenD

1

juga "CATATAN: Perubahan ke entri registri NtfsDisable8dot3NameCreation hanya memengaruhi file, folder, dan profil yang dibuat setelah perubahan. File yang sudah ada tidak terpengaruh."

Catatan: Meskipun menonaktifkan pembuatan nama file 8,3 meningkatkan kinerja file di Windows, beberapa aplikasi (16-bit, 32-bit, atau 64-bit) mungkin tidak dapat menemukan file dan direktori yang memiliki nama file yang panjang.

— albert riojas
sumber

0

Sayangnya satu-satunya cara untuk benar-benar menangani hal ini adalah serangkaian girasi yang mengganggu, tergantung pada versi windows Anda, menonaktifkan kemampuan untuk menghasilkan 8,3 nama.

Untuk versi Windows Anda:

Untuk menonaktifkan penciptaan nama 8,3 pada semua partisi NTFS, ketik perilaku fsutil.exe atur disable8dot3 1 pada prompt perintah yang ditinggikan, dan kemudian tekan Enter.

Sumber: http://support.microsoft.com/kb/121007

— Dave Holland
sumber

Artikel yang Anda tautkan mengatakan cara menonaktifkan pembuatan nama file 8,3, bukan mengapa itu memecahkan masalah.

— Michael Hampton

Saya sudah menonaktifkan 8,3 nama file, dan dir /xtidak menunjukkan nama file pendek di direktori situs

— KenD

Ken, apakah ini metode yang Anda gunakan untuk melakukannya?

— Dave Holland

Ya; Saya juga melihat referensi ke pengaturan registri, tetapi fsutilperintah itu muncul untuk mengatur kunci itu untuk saya.

— KenD

0

Saya tidak begitu yakin skrip bekerja dan bagaimana jaringan Anda mengaturnya tetapi bagaimana dengan memfilter melalui sesuatu di depan server IIS (bahkan jika itu hanya perangkat virtual di mesin virtual)? Yaitu, Anda menyiapkan IPS dengan aturan yang secara khusus menghapus lalu lintas yang berkaitan dengan masalah tertentu?

— dtbnguyen
sumber