I. Descrição

A Microsoft anunciou uma vulnerabilidade no servidor FTP do Internet Information Services (IIS). Esta vulnerabilidade pode permitir a um utilizador remoto e não autenticado a exceução de código arbirtrário.

II. Solução

Não existe ainda uma actualização de segurança que corrija esta vulnerabilidade, pelo que se aconcelha a aplicação das seguintes medidas de minimização de danos:

Remoção do privilégio de criação de directorias no sistema de ficheiros NTFS a utilizadores FTP

O administrador do sistemas pode modificar as permissões do sistema de ficheiros NTFS na raiz das directorias dos vários sites com o serviço FTP activo de modo a remover o privilégio de criação de directorias por parte dos utilizadores FTP. Esta alteração não afecta o upload de ficheiros para as directorias existentes.

Efectue os seguintes passos, como Administrator(Administrador), para remover os privilégios de criação de directorias do grupo Users (Utilizadores). Se definiu um utilizador FTP ou grupo para gerir os seus utilizadores FTP, substitua o grupo "Users" no passo 5 por essas identidades por si criadas.

1. Navegue para a directoria raiz do seu site FTP. Por defeito a directoria está em %systemroot%\inetpub\ftproot.
2. Carregue com a tecla direita do rato sobre a directoria e seleccione Properties (Propriedades)
3. Seleccione a tab Security (Segurança) e depois Advanced (Avançadas).
4. Carregue em Change Permissions (Alterar Permissões)
5. Seleccione o grupo Users (Utilizadores) e carregue em Edit (Editar)
6. Retire a selecção de "Create Folders/Append Data" (Criar Directorias/Anexar dados)

Desactivar privilégios de escrita no servidor FTP a utilizador anónimos

Por defeito os utilizadores anónimos de FTP não possuem privilégios de escrita. Caso estes privilégios tenham sido atribuídos no passado o administrador pode alterar as permissões do IIS e revogando esses privilégios. Desta forma os utilizadores anónimos não poderão explorar a vulnerabilidade anunciada. Com esta alteração os utilizadores não poderão transferir ficheiros através do FTP, mas podem fazê-lo através utilizando o WebDAV.

Para alterar os privilégios de escrita no ISS a utilizadores anónimos efectue os seguintes passos:

1. Inicie o IIS Manager
2. Carregue com a tecla direita do rato sobre Default FTP Site (Local de FTP predefinido) e seleccione Properties (Propriedades)
3. Seleccione a tab Home Directory (Directório Raiz)
4. Assegure-se que a opção Write (Escrita) não está seleccionada.

Desactivar o serviço FTP

Para instruções mais detalhadas sobre como desactivar o serviço FTP por favor clique aqui.

III. Referências

Microsoft Security Advisory (975191)
http://www.microsoft.com/technet/security/advisory/975191.mspx

US-CERT
http://www.kb.cert.org/vuls/id/276653