Microsoft IIS web sunucularında bulunan RDS güvenlik açığı aslında eski bir konu ama hala pek çok sitede bu açık mevcut ve önemini anlamak için tekrar değinmekte yarar var.

Sisteminizin bu açıktan etkilenip etkilenmediğini öğrenmek için aşağıdaki işlemi uygulayın:
http://www.domain-isminiz.com.tr/msadc/msadcs.dll
adresine gittiğinizde
Content-Type: application/x-varg Content-Length: 6 W ?
içeriğini geri döndürüyorsa sisteminiz bu açıktan etkileniyor demektir.
RDS güvenlik açığı sayesinde hedef makinada istenilen kodun çalıştırılması mümkün.

Detaylı bilgi:
IIS sunucularına RDS ile ODBC Data Access üzerinden yetkisiz erişim:
ITE firmasından Greg Gonzales bilinen bir "data source", kullanıcı ismi ve şifre olmadan Remote Data Service (RDS) hizmetini kullanabilmek için bir yol keşfetti. Ek olarak "SQL statement" larda sistem komutları gönderebilmek için Greg bunu Rain Forest Puppy lakaplı bir hackerın bulmuş olduğu metodla birleştirdi. Bu metod karşı sunucuda sistem haklarıyla MS Access Data Source tarafından çalıştırılan "Visual Basic for Applications" komutları gönderiyor. Buda bir saldırganın etkilenen sunucularda sistem hakları ile istenilen komutları çalıştırabilmesine izin veriyor.

RFP bu açık için bir kaynak kodu yayınladı, bu yüzden MDAC çalıştıran bütün sunucuları patch'lemek gerekli.

Korunmak için bazı ayar değişiklikleri yapabilirsiniz.
MDAC 3 adet object kuruyor:

1. AdvancedDataFactory
2. RDSServer.DataFactory
3. VbBusObj.VbBusObjCls

Eğer RDS e ihtiyacınız yoksa sunucularınız güvenli hale getirmek için aşağıdaki adımları uygulayın:

1. Yukarda belirtilen 3 objeyi silin:
Hive: HKEY_LOCAL_MACHINE
Key: System\CurrentControlSet\Services\W3SVC\
Parameters\ADCLaunch\

2. IIS'in yönetim konsolunda /msadc/ "virtual root" unu kaldırın.
eğer RDS'e ihtiyacınız varsa başka önlemler almanız gerekir.
Eğer MDAC 1.5 kullanıyorsanız aşağıdaki adresten MDAC 2.1'e güncelleyin
http://www.microsoft.com/data/download.htm.
Bütün RDS çağrılarının "safe handlers" kullanmasını sağlayın. Bunu yapmanın en kolay yolu Microsoft tarafından hazırlanan bir reg dosyasını kullanmak.
ftp://www.microsoft.com/security/bulletins/handsafe.EXE.
Dosya çalıştırıldığında REM uzantılı bir dosyayı açıyor. Bunu kullanabilmek için uzantısını REG olarak değiştirmelisiniz. Bunu aşağıdaki registry değerini manuel olarak değiştirerekde yapabilirsiniz:
Hive HKEY_LOCAL_MACHINE\SOFTWARE
Key Microsoft\DataFactory\HandlerInfo\
Name HandlerRequired
Type DWORD
Value 0="unsafe mode"; 1="safe mode"

3. Eğer mümkünse /msadc/ sanal dizinine anonymous erişimi kaldırın.

4. Eğer mümkünse RDS isteklerini filtreliyecek custom handler yaratın.
Bunun için gerekli bilgiyi aşağıdaki adresten bulabilirsiniz:
http://www.microsoft.com/Data/ado/rds/custhand.htm.

5. Rain Forest Puppy bunlarin hala VbBusObj.VbBusObjCls object'inin bu açıktan etkilenmesini engellemediğini söylüyor. O yüzden aşağıdaki registry anahtarınıda silmelisiniz:
Hive: HKEY_LOCAL_MACHINE
Key:/System/CurrentControlSet/Services/W3SVC/
Parameters/ADCLaunch/VbBusObj.VbBusObjCls

Kendi ortamınızda bunları yaparken registry anahtarlarını silmeden bir kopyasını almak geri adımlar için gerekli.

Konu karışık olduğu için Microsoft'un güvenlik bültenine ve FAQ dökümanına danışabilirsiniz:

Microsoft Security Bulletin MS99-025:
http://www.microsoft.com/security/bu...s/MS99-025.asp.
Frequently Asked Questions,
http://www.microsoft.com/security/bu...S99-025faq.asp
dökümanlympos
Hacked:
http://www.********.com/forumyeni/sh...5&page=2&pp=10