Hacker buit zwakte in serversoftware uit

Programmaatje om in W2000-server in te breken

04 mei 2001 | Jasper Koning Een hacker die zichzelf Dark Spyrit noemt, heeft een programma ontwikkeld waarmee ook mensen zonder al te veel technische kennis een server in handen kunnen krijgen die draait op Windows 2000 en versie 5 van de Internet Information Server-websoftware van Microsoft.

Het programma heet 'jill.c' en maakt gebruik van de kwetsbaarheid in versie 5 van de Internet Information Server (IIS) die Microsoft eerder deze week bekendmaakte. Daardoor kan een hacker de hele server in handen krijgen. Hoewel het programma niet helemaal voor de beginnende gebruiker is bedoeld, kan het wel een nieuwe impuls geven aan de verwachte online hooliganactiviteiten die deze week worden verwacht van Amerikaanse en Chinese hackers.

Marc Maiffret, de baas van de hackafdeling van het beveiligingsbedrijf eEye Digital Security, denkt dat het programmaatje nog wel wat te ingewikkeld is voor de online vandalen. "De code vereist een stap extra dan een heleboel scripts, maar het is geen moeilijke stap", zegt Maiffret, die de code van Dark Spyrit heeft geanalyseerd. Het ontwerp kan volgens hem firewalls voor de gek houden door zich voor te doen als een webserver.

De meeste webservers gebruiken een specifieke verbinding of 'poort' om gegevens naar een browser te verzenden. Omdat webverkeer meestal noodzakelijk wordt geacht voor de meeste bedrijven, zijn de gegevens bijna nooit afgeschermd door een firewall. "De meeste firewalls zijn niet zo zorgvuldig in de poorten waarmee een website verbinding mag maken", zegt Maiffret.

Afgelopen dinsdag gaf Microsoft toe dat een fout in de internet-printmodule die onderdeel uitmaakt van Windows 2000 een aanvaller in staat kan stellen om in servers in te breken, die gebruik maken van IIS 5.0. Alleen servers die internetprinten aan hebben staan, zijn kwetsbaar. Door een speciale string karakters te sturen kan de printmodule worden gebruikt om volledige toegang te krijgen tot een webserver. De code van 'jill.c' automatiseert dat proces en geeft de aanval een system command prompt.

De code komt niet als een verrassing voor Microsoft. "Klanten die de patch hebben toegepast, hoeven zich nergens zorgen over te maken", zegt het bedrijf in een verklaring. "Klanten die de patch nog niet hebben toegepast, moeten dit als een waarschuwing beschouwen en het alsnog gelijk doen." Lees meer artikels over : iis, hack, microsoft

bron: ZDNet