Vulnerabilidad en el servicio FTP de Microsoft Information Services (IIS)

Se ha reportado una vulnerabilidad en el FTP de Microsoft IIS que podría permitir a un atacante remoto la ejecución de código arbitrario en el equipo atacado. El usuario autenticado puede enviar comandos FTP especialmente diseñados para provocar un desbordamiento de pila, obteniendo.

El código con los parámetros manipulados se puede conseguir en el   siguiente enlace: http://www.milw0rm.com/exploits/9541

Aunque esta vulnerabilidad sólo se ha probado con usuarios anónimos con permiso de escritura, no significa que el resto de usuarios con estos permisos estén exentos de poder ser utilizados por el atacante como vía de acceso mediante el exploit.

Se recomienda encarecidamente eliminar los permisos de escritura de los usuarios del FTP hasta que salga el parche que solucione la vulnerabilidad.

Microsoft aún no ha publicado ningún parche que solucione el problema, aunque se espera que, debido a la gravedad de la vulnerabilidad, lo haga pronto.