home *** CD-ROM | disk | FTP | other *** search

---

/ Hacks & Cracks / Hacks_and_Cracks.iso / hackersclub / km / library / hack / ms_iis.txt

< prev

next >

Wrap

Text File  |  1998-03-25  |  9KB  |  144 lines

---

1.                                     The Microsoft IIS Bug
2.  
3.                                 (borrowed from the Jihad Site)
4.  
5.                                    Latest on the Bug
6.  
7.                          I have voluntarily decided not to discuss specific information
8.                          relating to this bug for the time being. I'm posting here
9.                          Microsoft's patches for fixing the bug:
10.  
11.                          I have agreed to pull the details of the bug for several reasons,
12.                          none of which have to do with being threatened or being paid
13.                          off by Microsoft, as some of you have assumed or asked. I
14.                          haven't even been in contact with them since they've posted
15.                          the bug patches. They did offer me a t-shirt and "some free
16.                          software" for finding the bug, whatever that means. I may in
17.                          the future decide to repost the detailed bug information, but
18.                          for now am content to keep it private.
19.                                                  
20.  
21.                                           The Bug
22.  
23.                          I know you can't wait to know more, so here is some general
24.                          info on the actual bug, from the original message I sent to
25.                          InfoWorld:
26.  
27.                          I've found a severe bug that allows any remote user on the
28.                          Internet to halt web services on an Microsoft NT 4.0 server
29.                          running Microsoft's Internet Information Server version 3. This bug
30.                          appears to unaffected by the installation of Service Pack 3. 
31.  
32.                          Let me explain the details of the bug and how I came across it.
33.                          The bug surfaces when a remote user requests a Web URL from
34.                          the IIS server that contains a certain number of characters.
35.  
36.                          <details omitted>
37.  
38.                          Apparently, this bug only appears when using Netscape
39.                          Navigator to contact the server...
40.  
41.                          <details omitted>
42.  
43.                          When a user sends this URL to an IIS web server, it causes an
44.                          access violation in the INETINFO.EXE process. We don't know
45.                          what this small 8k process's role is in the server's operation, but
46.                          when it fails, it causes the WWW service under IIS to stop. The
47.                          site administrator must then clear the error and restart the
48.                          service to continue operation. The bug does not always appear
49.                          upon the first document request, but repeated application will
50.                          eventually cause INETINFO.EXE to fail.
51.  
52.                          A colleague, Bill Chaison, has studied the Dr. Watson log file
53.                          and offers more information on the location of the error in the
54.                          INETINFO.EXE process:
55.  
56.                          "This particular GPF occurred at 0x77A07614 on our server. The
57.                          offending application is INETINFO.EXE, one of IIS 3.0's
58.                          components. The stamp properties of our EXE are
59.                          DATE=08/09/96, TIME=01:30a, SIZE=7440 bytes. Referencing
60.                          the dump, thread ID 0xF9 performed a string compare function
61.                          which caused a read fault during an iteration of the CMPSB
62.                          (compare string byte by byte) opcode. This opcode works off of
63.                          ESI and EDI as its base pointers and ECX as its loop repeater. I
64.                          suspect that either ECX was either miscalculated to begin with,
65.                          or ESI or EDI went out of range and caused a protection
66.                          exception. The Watson error dialog reflected 0x77A07614 as the
67.                          CS:EIP of the fault when the message box popped up. The log
68.                          file below confirms the address of the error. Search the file for
69.                          "FAULT ->" to jump to its description."
70.  
71.                          See the attached file IISCRASH.TXT file for the error dump.
72.  
73.                          I discovered the bug while testing IIS for a web development
74.                          project. While doing so, I found that our in-house server stopped
75.                          responding. Not realizing that this was a bug that affected all
76.                          copies of IIS, I continued my investigation using Microsoft's site
77.                          and inadvertently shut down their web server as well. At this
78.                          point I realized that the error was indeed a bug that affected IIS
79.                          itself.
80.  
81.                                                
82.  
83.                          Personal Commentary - Another
84.                          Explanation for Microsoft Being
85.                                        Unavailable?
86.  
87.                          First, please let me stress here that I am a professional
88.                          software consultant, and in no way a "hacker" as some
89.                          coverage in the media has incorrectly stated. I feel I have
90.                          shown good faith by providing all the information I had about
91.                          the bug to an independant confirming source, InfoWorld, and
92.                          Microsoft within hours of discovering it. Please see the
93.                          InfoWorld article for a far less sensationalized account of this
94.                          event than you may find elsewhere. I originally contacted
95.                          InfoWorld to report this bug, and they are the only media
96.                          agency to which I contributed information. They were also the
97.                          first and only other party of which I am aware, besides
98.                          Microsoft, who were involved in confirming this bug.
99.  
100.                          The IIS bug, as Microsoft has corroborated publicly, is fixable
101.                          within seconds of it occurring. In my testing of the bug, it did
102.                          not crash the NT server or have any other effect on the server
103.                          or any of its running processes. In fact, the bug causes a single
104.                          process to have an access violation. After clearing the error
105.                          dialog, the administrator need only restart the WWW service
106.                          from the system tools shipped with Windows NT. This
107.                          process takes a maxmium of 15 seconds and can be repeated
108.                          any number of times without any additional effects. Microsoft
109.                          has also publicly corroborated that this bug causes no loss of
110.                          data, and thus, has no effect beyond the loss of service from
111.                          the web server temporarily.
112.  
113.                          It would have been impossible for "Hackers [to] jam
114.                          Microsoft's site" (as was the headline of a c|net article) by
115.                          exploiting this bug unless there were an entire group of
116.                          hackers working around the clock to bring Microsoft's site to
117.                          a halt as soon as it was restarted. It seems highly improbable
118.                          that a group of hackers suddenly exploited this bug to bring
119.                          Microsoft's site to a halt for a series of hours or days, as some
120.                          media coverage states, shortly after I discovered it. In
121.                          addition, Microsoft notified me that they had a fix for the IIS
122.                          bug available around noon on Friday. Were I Microsoft, and
123.                          my site was being supposedly jammed by hackers, I would
124.                          certainly have applied this patch to my website immediately,
125.                          which would have been, at latest, noon Friday.
126.  
127.                          Also, keep in mind that Microsoft has publicly stated that they
128.                          have been overwhelmed with Internet traffic and have been in
129.                          the process of upgrading their site over this last weekend. I
130.                          also have information from a kind reader that, if I understand it
131.                          correctly, he says shows that a significant cause of Microsoft's
132.                          site being down was related to a botched entry in the domain
133.                          name lookup system (perhaps because of the upgrade?). This
134.                          problem, as stated, essentially only allowed users to use a
135.                          single IP address, and thus a single server, to access
136.                          www.microsoft.com. As he put it, "Guess what happens when
137.                          everyone tries to use one server"? He says he contacted
138.                          Microsoft and notified them of the problem Friday, but
139.                          according to him, they didn't fix the problem until late this
140.                          weekend.
141.  
142.  
143.  
144.