El “eEye Digital Security Team” —http://www.eeye.com— soltó la liebre hace un par de días: más del 90% de los servidores web bajo Windows NT pueden ser controlados por un intruso debido a un defecto en el Internet Information Server 4.0 de Microsoft (IIS4). Con una sencilla operación, un hacker puede tomar el control del servidor, introducir programas rastreadores, extraer información y ejecutar cuantas funciones se quieran, dado que se suplanta la figura del administrador del sistema. El problema parece estar en desbordamientos de buffer, es decir, defectos de programación que permiten que zonas de memoria intermedia se saturen ante un exceso de datos que no pueden asimilar, provocando la caída del sistema y/o su control remoto por parte de intrusos.

El servidor IIS4 reconoce unas determinadas extensiones de fichero que precisan ser procesadas en el propio servidor. Cuando un usuario solicita un fichero de estos tipos —ASP, IDC, HTR, etc—, éste se filtra hacia una biblioteca dinámica, es decir, un fichero DLL que se encarga de manejarlo. Si la URL es muy larga es probable que se sobresature algún buffer. Durante las pruebas que realiza el “Equipo de seguridad digital ojo electrónico”, una URL de 3.000 caracteres con la extensión HTR hizo caer el servidor. Lo grave es que esa extensión corresponde a la funcionalidad que permite modificar las contraseñas de usuario de forma remota.

La solución a adoptar en espera de la emisión de un parche por parte de Microsoft es ir al panel de control del IIS y eliminar la asociación de la extensión HTR con la DLL en cuestión. Esta medida aunque inhabilita algunas funciones, impide el paso a los hackers.