Microsoft Windows 2003 & IIS6

 Ciao,

	vi rendo partecipi di una simpatica feature del nuovo sistema
operativo della Microsoft: il 2003 Web Edition e del suo nouvo IIS6 definito
da Microsoft ipersicuro e di default locked.
	Ora mentre stavo per finire l'installazione mi sono accorto di una
nuova voce sotto gli administration tools: "Web Interface for Remote
Administration".
	Non potevo crederci: "Web Interface for Remote Administration" è una
pagina di amministrazione che ti permette di cambiare quasi tutti i
paramentri di Sistema tra cui Utenze, Password, gateway, metriche, nome
macchina, dominio, configurare siti ecc ecc.
	Il "servizio" che ribadisco: E' INSTALLATO DI DEFAULT gira in https
sulla porta 8099 e non prevede nessun controllo per evitare un brute
force... Lascio immaginare a tutti cosa si potrebbe fare se per caso qualche
amministratore di sistema lasciasse aperta questa porta!!!
	Ora, questi Microsoft proprio non la capisco... È un servizio che
secondo me non ha nessun senso! Parliamoci chiaro a che pro fare un Admin
del genere su un sistema Windows-based ? Posso capire una cosa del genere
sotto i sistemi Linux (WebMin), magari li ha senso per chi non a
dimestichezza con la sintassi Linux/Unix o per chi non volesse sbattersi
piu' di tanto... Ma sotto Microsoft ? Ti logghi sotto Terminal services ed
il gioco è fatto... Che senzo ha fare quel web remote che tra l'altro puo'
sfruttare tutte le falle di un servizio (IIS) che per natura è sottoposto a
falle di sicurezza ? 

	Lascio a voi ogni ulteriore commento....

Ciao

Luigi
OwL
"Make the complex, more complex"


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List