Pablo Weyne – IIS – Windows – Microsoft

Um usuário postou no fórum Technet Brasil uma dúvida que realmente é importante ser divulgada. Como aumentar a segurança das aplicações ASP.NET 6.0 protegendo contra scripts maliciosos, que existem vários na internet. Esses scripts conseguem listar os sites, subir privilégios, executar comandos CMD, editar o registro e várias outras coisas. Irei ensinar agora como se proteger de scripts que utilizam ASP.NET, existem em ASP e PHP, onde irei postar depois.

Como aplicar a segurança no ASP.NET 1.1:

Edite o arquivo machine.config (C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\CONFIG). Na linha 171, altere para:

<trust level=”Medium” originUrl=”" />

Como aplicar a segurança no ASP.NET 2.0 (inclui todas acima de 2.0, como 3.0 e 3.5):

Edite o arquivo web.config (C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CONFIG) Na linha 21, altere para:

<trust level=”Medium” originUrl=”"/>

O padrão é FULL, e você deve reduzir para uma melhor segurança.

Para entender melhor sobre a segurança do ASP.NET, o que significa os níveis de segurança Full, High, Medium, Low e Minimal visite o site: http://www.devmedia.com.br/articles/viewcomp.asp?comp=845

O site Secunia divulgou uma falha no IIS descoberta por Soroush Dalili que pode ser explorado por pessoas maliciosas para potencialmente ignorar certas restrições de segurança e comprometer um sistema vulnerável.

A vulnerabilidade é causada devido ao servidor web interpretar de forma incorreta a execução de scripts em ASP. Por exemplo, incluindo em um arquivo com várias extensões separadas por “;”, mas executando como se fosse “. Asp” (por exemplo “file.asp;.Jpg”). Essa falha pode ser explorada em sites que permite o envio de imagens, onde você envia uma foto foto.asp;.jpg, e se o explorador conhecer o caminho das imagens, consegue executar um script ASP malicioso (existem vários na internet), por exemplo: http://www.site.com.br/foto.asp;.jpg. O IIS irá executar o .jpg usando a DLL do ASP (asp.dll).

Existem maneiras de se proteger que Soroush Dalili sugere:

• Remover o “Executar” do diretório das imagens;
• Usar sequência aleatória no nomes dos arquivos que são feitos upload e definir sua extensão pelo próprio aplicativo Web (utilizando switch?case ou select?case) e nunca aceitar que o usuário defina o nome do arquivo;
• Restringir o upload de arquivos para os usuários confiáveis.

A Microsoft ainda não se pronunciou, assim que sair algum patch ou informação eu posto aqui.

No boletim de segurança de dezembro, que são as atualizações mensal para aplicar nos servidores e estações, uma das atualizações (MS09-071) está relacionado ao IIS . Esta atualização de segurança resolve duas vulnerabilidades relatadas no Windows. O mais grave é que essas vulnerabilidades podem permitir a execução remota de código se as mensagens recebidas pelo servidor Internet Authentication Service se forem copiadas incorretamente na memória. Portanto, atualize o quanto antes o servidor.

Segundo o blog do Nazim, alguns clientes estão reclamando que o Application Pool do Windows 2003 não sobem após a atualização. O suporte da Microsoft lançou o KB 2009746, explicando como resolver o problema, que consiste em  reinstalar o service pack 2 para substituir as DLL’s que ficaram do SP1.