Detectado un fallo en Internet Information Services

El día de Navidad, los expertos en seguridad saltaron la alarma, Microsoft Internet Information Services (IIS) sufría una vulnerabilidad que podría permitir a un hacker saltarse las medidas de seguridad de la compañía y cargar malware en cualquier máquina infectada.

Según la empresa de seguridad Secunia, que ha calificado la vulnerabilidad como poco crítica, el fallo se ha detectado en el servidor web que “ejecuta código ASP incorrectamente incluido en un archivo con múltiples extensiones separado por ‘;’ sólo con una extensión interna ‘.asp’”.

Aprovechando dicha vulnerabilidad, el ciberdelincuente podría cargar un archivo ejecutable peligroso en el servidor o ejecutar código ASP arbitrario, como podría ser “malicious.asp;.jpg”. IIS puede ejecutar cualquier extensión como Active Server Page, aunque la mayoría de las páginas de subida de archivos comprueban el nombre del archivo y su extensión, algo que con este fallo cualquier atacante podría saltarse.

Por su parte, Microsoft está trabajando para solucionar el problema y ha especificado que las versiones afectadas son todas aquellas que sean anteriores a la 6, incluida esta última; y aseguran que, de momento, las versiones IIS 7 y la ISS 7.5 son seguras.