Microsoft confirma falha no IIS

• 
  

• 
  

SÃO PAULO – A Microsoft confirmou os rumores sobre uma falha de segurança grave no Internet Information Services (IIS).

A falha permite que crackers insiram um arquivo ASP malicioso dentro do servidor disfarçado como uma imagem JPG. Dessa forma ele pode criar formas de infectar outras máquinas ou tomar conta do sistema.

Segundo a Microsoft, máquinas que estiverem rodando com a configuração original do IIS não serão afetadas. “Nós ainda estamos investigando o caso e ainda não temos conhecimento de nenhum ataque. Queremos informar os consumidores que nossas investigações preliminares mostram que o servidor só fica vulnerável se estiver com uma configuração insegura”, informou um funcionário do Security Response Center da MS.

Para que o ataque seja bem sucedido, o invasor deve ter direitos de escrita, upload e gravação em um diretório específico que permita a execução do código.

A Microsoft não informou quais são as versões afetadas pela vulnerabilidade, mas o post no Security Response Center aponta links para diversas dicas de configuração e práticas de segurança relacionadas ao IIS 6.