Az IIS alapértelmezett telepítés után számos támadási fajtára érzékeny. Ezek a kockázati tényezők a következők:
- Denial of service támadás (szolgáltatásmegtagadás-támadás)
- Érzékeny fájlok és adatok elérhetősége
- Önkényes kódok futtatása
- A szerver teljes sebezhetősége
Az IIS egy ISAPI nevű programozási horgot használ arra, hogy különféle DLL-ekkel fájlokra asszociáljon (ezek az ISAPI szűrők). Az előfeldolgozók, mint pl. a PHP vagy a ColdFusion, az ISAPI-t használják, hogy kezeljék a függvényeket, mint az ASP. Sokféle ISAPI szűrő települ az IIS-el alapértelmezésben, amelyek nem szükségesek a legtöbb esetben, és sok ezek közül támadható. Ezekre a legjobb példa a Code Red és Code Red 2 férgek.
Akárcsak a legtöbb Web-szerver esetében, az IIS is tartalmaz mintaalkalmazásokat, amelyeket arra terveztek, hogy bemutassák a Web-szerver működését. Ezek az alkalmazások nem arra lettek tervezve, hogy éles környezetben biztonságosan működjenek. Némely IIS mintaalkalmazás engedélyezi a távoli nézegetést vagy felülírást, vagy távoli hozzáférést kritikus információkhoz, mint amilyen az adminisztrátor jelszava.
Egy IIS telepítés, amely nincs karbantartva, szintén ki van téve azoknak a sebezhetőségeknek, amelyeket a szoftver megjelenése óta felismertek. Kiváló példa erre a WebDAV ntdll.dll az IIS 5.0-ban, amely denial of service támadást tesz lehetővé, és segítségével bármely weboldal-látogató script-eket hozhat létre, és futtathat a szerveren; és az Unicode sebezhetőség, amellyel veszélyes parancsok futtathatók a szerveren, tisztán URL segítségével.
Harmadik fél által készített kiegészítések, mint a ColdFusion és a php újabb sebezhetőséget jelenthetnek egy IIS telepítésben akár konfigurációs hiány vagy belső sebezhetőség által.
Hogyan állapítható meg, hogy sebezhetők vagyunk-e
Alapértelmezett vagy még nem patch-elt IIS telepítés magában hordozza a sebezhetőséget.
Rendszer és hálózati adminisztrátorok az IIS telepítésének gondozása folytán hozzáférhetnek olyan kiterjesztett Microsoft eszközökhöz, biztonsági dokumentumokhoz, amelyek a megfelelő IIS adminisztrációhoz szükségesek.
Javasolt letölteni a Microsoft Baseline Security Analyzer-t, amely tartalmaz olyan észlelő mechanizmusokat, amelyek az IIS-hez készültek.
A rendszergazdák összevethetik saját rendszereiket számos ellenőrző listával, leírással és sebezhetőséget ismertető dokumentációval, amelyet a Microsoft tesz közzé, hogy kövessék a sebezhetőségi állapotot.
Hogyan védekezzünk
Patch-eljük a rendszert és tartsuk naprakészen.
Egy szerver patch-elése szükséges, de nem elegendő. Használjuk a Windows Update-et és az AutoUpdate opciókat. A HFNetChk, a Network Security Hotfix Checker segít a rendszergazdáknak a helyi vagy távoli rendszer ellenőrzésében az aktuális patch-ek érdekében. Az eszköz valamennyi rendszeren elérhető Windows NT óta és letölthető a következő helyről:
http://www.microsoft.com/technet/security/tools/hfnetchk.asp
Ha külső fejlesztő cég által készített terméket használunk, mint a ColdFusion vagy a PHP, akkor ne feledjük rendszeresen ellenőrizni ezen termékek weboldalát, hogy naprakészek legyünk a frissítésekből. Ezekre a frissítésekre a Microsoft-nak nem terjedhet ki a hatóköre.
Használjuk az IIS Lockdown varázslót, hogy megerősítsük a telepítést. (Mellékelt cikkünkben találhatunk információt erről az eszközről.)
Használjuk az URLScan-t, hogy a HTTP kéréseket szűrjük. (Mellékelt cikk)