home *** CD-ROM | disk | FTP | other *** search
/ Hackers Handbook - Millenium Edition / Hackers Handbook.iso / library / hack / ms_iis.txt < prev    next >
Encoding:
Text File  |  1997-09-25  |  9.2 KB  |  144 lines
  1.                                     The Microsoft IIS Bug
  2.  
  3.                                 (borrowed from the Jihad Site)
  4.  
  5.                                    Latest on the Bug
  6.  
  7.                          I have voluntarily decided not to discuss specific information
  8.                          relating to this bug for the time being. I'm posting here
  9.                          Microsoft's patches for fixing the bug:
  10.  
  11.                          I have agreed to pull the details of the bug for several reasons,
  12.                          none of which have to do with being threatened or being paid
  13.                          off by Microsoft, as some of you have assumed or asked. I
  14.                          haven't even been in contact with them since they've posted
  15.                          the bug patches. They did offer me a t-shirt and "some free
  16.                          software" for finding the bug, whatever that means. I may in
  17.                          the future decide to repost the detailed bug information, but
  18.                          for now am content to keep it private.
  19.                                                  
  20.  
  21.                                           The Bug
  22.  
  23.                          I know you can't wait to know more, so here is some general
  24.                          info on the actual bug, from the original message I sent to
  25.                          InfoWorld:
  26.  
  27.                          I've found a severe bug that allows any remote user on the
  28.                          Internet to halt web services on an Microsoft NT 4.0 server
  29.                          running Microsoft's Internet Information Server version 3. This bug
  30.                          appears to unaffected by the installation of Service Pack 3. 
  31.  
  32.                          Let me explain the details of the bug and how I came across it.
  33.                          The bug surfaces when a remote user requests a Web URL from
  34.                          the IIS server that contains a certain number of characters.
  35.  
  36.                          <details omitted>
  37.  
  38.                          Apparently, this bug only appears when using Netscape
  39.                          Navigator to contact the server...
  40.  
  41.                          <details omitted>
  42.  
  43.                          When a user sends this URL to an IIS web server, it causes an
  44.                          access violation in the INETINFO.EXE process. We don't know
  45.                          what this small 8k process's role is in the server's operation, but
  46.                          when it fails, it causes the WWW service under IIS to stop. The
  47.                          site administrator must then clear the error and restart the
  48.                          service to continue operation. The bug does not always appear
  49.                          upon the first document request, but repeated application will
  50.                          eventually cause INETINFO.EXE to fail.
  51.  
  52.                          A colleague, Bill Chaison, has studied the Dr. Watson log file
  53.                          and offers more information on the location of the error in the
  54.                          INETINFO.EXE process:
  55.  
  56.                          "This particular GPF occurred at 0x77A07614 on our server. The
  57.                          offending application is INETINFO.EXE, one of IIS 3.0's
  58.                          components. The stamp properties of our EXE are
  59.                          DATE=08/09/96, TIME=01:30a, SIZE=7440 bytes. Referencing
  60.                          the dump, thread ID 0xF9 performed a string compare function
  61.                          which caused a read fault during an iteration of the CMPSB
  62.                          (compare string byte by byte) opcode. This opcode works off of
  63.                          ESI and EDI as its base pointers and ECX as its loop repeater. I
  64.                          suspect that either ECX was either miscalculated to begin with,
  65.                          or ESI or EDI went out of range and caused a protection
  66.                          exception. The Watson error dialog reflected 0x77A07614 as the
  67.                          CS:EIP of the fault when the message box popped up. The log
  68.                          file below confirms the address of the error. Search the file for
  69.                          "FAULT ->" to jump to its description."
  70.  
  71.                          See the attached file IISCRASH.TXT file for the error dump.
  72.  
  73.                          I discovered the bug while testing IIS for a web development
  74.                          project. While doing so, I found that our in-house server stopped
  75.                          responding. Not realizing that this was a bug that affected all
  76.                          copies of IIS, I continued my investigation using Microsoft's site
  77.                          and inadvertently shut down their web server as well. At this
  78.                          point I realized that the error was indeed a bug that affected IIS
  79.                          itself.
  80.  
  81.                                                
  82.  
  83.                          Personal Commentary - Another
  84.                          Explanation for Microsoft Being
  85.                                        Unavailable?
  86.  
  87.                          First, please let me stress here that I am a professional
  88.                          software consultant, and in no way a "hacker" as some
  89.                          coverage in the media has incorrectly stated. I feel I have
  90.                          shown good faith by providing all the information I had about
  91.                          the bug to an independant confirming source, InfoWorld, and
  92.                          Microsoft within hours of discovering it. Please see the
  93.                          InfoWorld article for a far less sensationalized account of this
  94.                          event than you may find elsewhere. I originally contacted
  95.                          InfoWorld to report this bug, and they are the only media
  96.                          agency to which I contributed information. They were also the
  97.                          first and only other party of which I am aware, besides
  98.                          Microsoft, who were involved in confirming this bug.
  99.  
  100.                          The IIS bug, as Microsoft has corroborated publicly, is fixable
  101.                          within seconds of it occurring. In my testing of the bug, it did
  102.                          not crash the NT server or have any other effect on the server
  103.                          or any of its running processes. In fact, the bug causes a single
  104.                          process to have an access violation. After clearing the error
  105.                          dialog, the administrator need only restart the WWW service
  106.                          from the system tools shipped with Windows NT. This
  107.                          process takes a maxmium of 15 seconds and can be repeated
  108.                          any number of times without any additional effects. Microsoft
  109.                          has also publicly corroborated that this bug causes no loss of
  110.                          data, and thus, has no effect beyond the loss of service from
  111.                          the web server temporarily.
  112.  
  113.                          It would have been impossible for "Hackers [to] jam
  114.                          Microsoft's site" (as was the headline of a c|net article) by
  115.                          exploiting this bug unless there were an entire group of
  116.                          hackers working around the clock to bring Microsoft's site to
  117.                          a halt as soon as it was restarted. It seems highly improbable
  118.                          that a group of hackers suddenly exploited this bug to bring
  119.                          Microsoft's site to a halt for a series of hours or days, as some
  120.                          media coverage states, shortly after I discovered it. In
  121.                          addition, Microsoft notified me that they had a fix for the IIS
  122.                          bug available around noon on Friday. Were I Microsoft, and
  123.                          my site was being supposedly jammed by hackers, I would
  124.                          certainly have applied this patch to my website immediately,
  125.                          which would have been, at latest, noon Friday.
  126.  
  127.                          Also, keep in mind that Microsoft has publicly stated that they
  128.                          have been overwhelmed with Internet traffic and have been in
  129.                          the process of upgrading their site over this last weekend. I
  130.                          also have information from a kind reader that, if I understand it
  131.                          correctly, he says shows that a significant cause of Microsoft's
  132.                          site being down was related to a botched entry in the domain
  133.                          name lookup system (perhaps because of the upgrade?). This
  134.                          problem, as stated, essentially only allowed users to use a
  135.                          single IP address, and thus a single server, to access
  136.                          www.microsoft.com. As he put it, "Guess what happens when
  137.                          everyone tries to use one server"? He says he contacted
  138.                          Microsoft and notified them of the problem Friday, but
  139.                          according to him, they didn't fix the problem until late this
  140.                          weekend.
  141.  
  142.  
  143.  
  144.