Mais uma vulnerabilidade grave foi descoberta no IIS servidor web da Microsoft utilizado em diversos web servers, podendo atingir um enorme número de sites que podem estar vulneráveis.Trata-se de de um erro provocado por URL"s mal-formadas, que pode ser explorado para causar falhas de negação de serviço (DoS).
Para se explorar a falha basta digitar a URL no navegador, causando um crash no serviço do IIS.
EX:
http://[host]/[dir]/.dll/%01~0
O sucesso ao exlporar a falha requer que "[dir]" seja um diretório virtual com permissão para rodar script e executáveis.
O IIS reinicia automáticamente após o crash.
A vulnerabilidade foi confirmada em um sistema com IIs 5.1 rodando em um Windows XP SP2
Solução
Filtrar sequências de caracteres potencialmente maliciosas com um HTTP proxy.
Total Security
