Início > Microsoft > Vulnerabilidade IIS

Vulnerabilidade IIS

 
Pessoal,
 
A Microsoft está investigando uma vulnerabilidade que pode permitir elevação de privilégio de usuários autenticados para LocalSystem. ( Pulicado em 17 de Abril )
 
Sistemas operacionais afetados : Windows XP Professional Service Pack 2 e todas as versões e edições do Windows Server 2003, Windows Vista, e Windows Server 2008.
 
Para quem permite aos usuários a execução de código em um contexto autenticado, utilizando por exemplo o ISAPI filters e extensões e código ASP.NET code executando com permissões full, deverá rever esta permissão.
 
Nota : Instalações default do IIS 5.1, IIS 6.0, e IIS 7.0 não são afetadas por esta vulnerabilidade.
 
Provedores de hospedagem podem ter um aumento de risco com esta vulnerabilidade de elevação de privilégio.
 
Ações sugeridas
IIS 7.0 – Especifique o WPI para uma pool de aplicações
 
1.   No IIS Manager, expanda o nó do servidor, clique em Pool de Aplicações, botão-direito-mouse em pool de aplicação e, em seguida, clique em Configurações avançadas…
 
2.   Localize a identidade,… e clique no botão para abrir a caixa de diálogo Identidade do Pool de Aplicação.
 
3.   Selecione a opção Conta Customizada e clique em Definir para abrir a caixa de diálogo Definir Credenciais. Informe o Nome do Usuário e a Senha. Digite novamente a senha na caixa Confirmar senha e, em seguida, clique em OK.
 

Metódo 2– utilizando o APPCMD.exe

1.

No command prompt, altere o caminho para o difretório %systemroot%system32inetsrv.

2.

Execute o APPCMD.exe utilizando a seguinte sintaxe: string é o nome do pool de aplicação; Username string é o nome da conta de usuário a ser atribuida ao pool de aplicação; Password string é a senha da conta.

appcmd set config /section:applicationPools /
[name=’string’].processModel.identityType:SpecificUser /
[name=’string’].processModel.userName:string /
[name=’string’].processModel.password:string

 

Nota: Identidades do Pool de Aplicações são adicionadas dinâmicamente ao grupo  IIS_WPG group no IIS7 e não precisam ser adicionadas manualmente
 
Impacto da Solução: Gerenciar a contas de usuário adicionais criados nesta ação resultará num aumento da sobrecarga administrativa. Dependendo da natureza das aplicações em execução neste pool de aplicações, a funcionalidade da aplicação pode ser afetada.
 
 
Para mais informações a respeito, consulte o link
 
Categorias:Microsoft
  1. Nenhum comentário ainda.
  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: