Uvedkommede kan få full tilgang over upatchede utgaver av Microsofts IIS-servere. I mellomtiden kan det være lurt å være litt ekstra forsiktig som nettbruker.

Microsofts nettservere kan ha svært alvorlig sårbarhet

Kan gi uvedkommede full tilgang.

Hva ville du gjort om du eide en nettbutikk og fant ut at inntrengere i verste fall kunne gjøre akkurat som de ville med serverparken din? Akkurat det har selskaper som bruker Microsofts servere erfart de siste dagene. Det er nemlig funnet en feil som kan gi inntrengere full kontroll på systemnivå.

Full kontroll kan innebære nesten hva som helst, fra å koble serveren ned fra nettet med blåskjerm, til å installere skadevare og spionvare, eller rett og slett legge inn tull og fjas på serveren som er rammet. Grensene settes av fantasien og den øvrige sikkerheten på serveren.

Fersk feil

Denne kodesnutten viser hvordan en ikke oppdatert IIS-server kan senkes av feilen. Foreløpig er det ikke kjent hvordan man også kan overta kontrollen over serveren.
Denne kodesnutten viser hvordan en ikke oppdatert IIS-server kan senkes av feilen. Foreløpig er det ikke kjent hvordan man også kan overta kontrollen over serveren. Foto: Skjermdump fra Ghoztbin.com

Microsoft varslet om feilen på sine sider den 14. april, samtidig med at de slapp en oppdatering for servere som endrer måten de håndterer den farlige trafikken på. Oppdateringen er merket som kritisk.

Selskapet har ikke selv publisert hvordan selve sårbarheten kan utnyttes, men feilen ligger i hvordan en del av HTTP-protokollen håndterer uvanlige henvendelser. Den rammede programvaren er en del av IIS, eller Internet Information Services, en tjeneste som spesielt er forbundet med Microsofts serverrettede utgaver av Windows.

At ikke Microsoft har sluppet koden som skal til for å utnytte feilen, hindrer ikke andre fra å forsøke å finne frem til den. På sin blogg viser sikkerhetsmann Mattias Geniar frem kode som skal være relatert til sårbarheten.

Ber om for store tall?

Ved hjelp av dette verktøyet kan du sjekke om nettsiden du bruker er oppdatert. Hvis den ikke er det bør du være forsiktig med hvilken informasjon du gir fra deg.
Ved hjelp av dette verktøyet kan du sjekke om nettsiden du bruker er oppdatert. Hvis den ikke er det bør du være forsiktig med hvilken informasjon du gir fra deg. Foto: Skjermdump lab.xpaw.me

Koden viser en serverhenvendelse som ber om informasjon fra serveren, med spesifisering for datamengder fra 0 til 18 446 744 073 709 551 615. Dette skal forårsake en feil i serveren, som gjør at den kan falle ned med blåskjerm. Tall organiseres på flere ulike vis i programvare, og tallet som forespørres er i utgangspunktet helt i ytterkant av maksimalverdien for 64-biters heltall. Om det er dette som forårsaker feilen virker foreløpig usikkert.

I tillegg til å ta ned en server skal altså feilen også kunne gi tilgang til kjøring av valgfri kode på systemnivå. Akkurat hvordan det skal foregå er imidlertid ikke kjent.

Basert på informasjonen som så langt har kommet ut, har det blitt laget en testside som kan finne ut om serveren man skal til er rammet av sårbarheten, eller om den er oppdatert.

De fleste store aktører er oppdatert

IIS er én av flere serverløsninger som er i bruk av store og små bedrifter rundtom, og konkurrerer mot blant annet de åpne løsningene Apache og Nginx. I timene som har gått siden feilen ble publisert av Microsoft har langt de fleste nettsteder vi har prøvd blitt oppdatert. Men fortsatt var det noen norske nettbutikker igjen som ikke hadde oppdatert i dag morges. Ved lunsjtider i dag ser det ut til at de fleste større aktører har fått med seg oppdateringen, og er utenfor faresonen.

For deg og meg som nettbrukere er det ikke så mye vi kan foreta oss, annet enn å vente på at de siste nettstedene blir oppdatert. I mellomtiden kan det være lurt å være forsiktig med å levere fra seg betalingsinformasjon og andre sensitive data til nettsteder som ikke består testen.

Ikke alle store feil blir oppdatert like fort. Heartbleed-feilen som ble oppdaget i Open SSL i fjor, skal stadig være hjertelig til stede. Hele 74 prosent av bedrifter med nettservere har fortsatt ikke fått oppdatert alt utstyret sitt.

(Kilder: Microsoft, ma.ttias.be, xpaw.me)

Norges beste mobilabonnement

Juni 2017

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Ice Mobil 1 GB


Jeg bruker middels mye data:

Telio Go 5 GB


Jeg bruker mye data:

Komplett Maxiflex 12 GB


Jeg er superbruker:

Komplett Megaflex 30 GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen