Kритическая ошибка в веб-серверах Microsoft

Компания из Финляндии Secunia сообщает об ошибке в программе веб-сервера Microsoft Internet Information Services. Ее IT-сотрудниками был обнаружен «жучок» (баг), используя который на веб-серверах, управляемых программным обеспечением Microsoft, можно выполнять различные коды. Баг заключается в недоработанном алгоритме обработки имен и расширений файлов.

Программное обеспечение веб-серверов от Microsoft с этим багом характеризуется низкой надежностью и каждый интернет-провайдер, который использует это ПО, рискует заразить свой веб-сервер вирусами и вредоносными программами. Большая часть веб-серверов созданы с такой схемой, которая отклоняет загрузку различных скриптов из Интернета, таких как файлы с расширением .asp или .aspx. Однако, если подменить расширение, то это ограничение будет снято и этим как раз и могут воспользоваться хакеры и злоумышленники.

Это открытие крайне важно, поскольку, злоумышленник может без проблем загрузить на веб-сервер нужный скрипт. Для этого достаточно после расширения поставить запятую, а загрузить его, например, как графический файл. И тогда расширение будет выглядеть как .asp,jpg. Так баг работает со всеми расширениями.

Как утверждают специалисты, одним из направлений атак злоумышленников станет добавление к расширениям .jpg. Однако так же загрузить можно и файлы и программы с другими типами расширений, что позволит взломщикам осуществлять самые различные действия не только на веб-сервере. В компании Microsoft уже приступили к устранению недоработки.

Согласно статистике, которую обнародовали специалисты Google, веб-серверы Microsoft в два раза уязвимей, чем другое ПО, например, Apache. Обезопасить себя конечные пользователи сети могут, воспользовавшись стандартным набором инструментов защиты. Также можно отключить загрузку мультимедийных файлов и выполнение скриптов, что, кстати, позволит увеличить скорость интернета.