发布日期：2002-03-05
更新日期：2002-03-06

受影响系统：

Microsoft IIS 4.0
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
Microsoft IIS 5.0
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
Microsoft IIS 5.1
    - Microsoft Windows XP

描述：

---

Microsoft IIS是Windows系统默认的主服务器程序，它提供Web、Mail、Ftp、Nntp服务。

Microsoft IIS认证过程实现上存在问题，在某些情况下，远程攻击者可以得到IIS服务器内部地址、NetBIOS名等相关信息，或者暴力猜测用户名和口令。

IIS服务器支持匿名访问、基本认证和使用NTLM方式的Windows集成认证，通过发送包含认证信息的HTTP请求，远程攻击者可以强制让服务器以攻击者指定的方法认证自己，这样攻击者就可以确定服务器的认证方法的配置情况。

如果服务器支持基本认证方式，并且处于防火墙或者NAT保护，攻击者就可以发送一个URL请求，并将Host域置空，Web服务器返回的信息中会包含其内部地址信息。

如果服务器支持NTMLM认证方式，攻击者可以从Web服务器返回的信息中获取其NetBIOS名以及所属域的信息。

攻击者也可能利用这个问题对服务器上的用户名和口令进行暴力猜解。


<*来源：David Litchfield （david@nextgenss.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-03/0030.html
        http://www.nextgenss.com/advisories/iisauth.txt
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

David Litchfield （david@nextgenss.com）提供了如下测试方法：

要确定服务器是否支持基本认证，可以向服务器发送以下的请求：

GET / HTTP/1.1
Host: iis-server
Authorization: Basic cTFraTk6ZDA5a2xt

如果服务器返回401消息，则说明服务器的基本认证选项是打开的，如果返回200消息，则说明很可能基本认证是关闭的，当然也有可能你正好猜到了一个用户名，口令对，不过这种可能性很小。

如果想确定服务器是否支持NTLM认证，可以发送如下请求：

GET / HTTP/1.1
Host: iis-server
Authorization: Negotiate TlRMTVNTUAABAAAAB4IAoAAAAAAAAAAAAAAAAAAAAAA=

同样道理，如果服务器支持NTLM认证，则会返回401消息，反之，则返回200信息。

建议：

---

临时解决方法：

David Litchfield （david@nextgenss.com）建议您采取以下措施以降低威胁：

* 如果对服务器的访问不需要认证，则可以关闭基本认证和NTLM认证。

* 设定帐户锁定策略以抵抗可能的暴力猜解。

厂商补丁：

Microsoft
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.microsoft.com/

浏览次数：3380
严重程度：0（网友投票）