Microsoft: domande e risposte sulla falla WebDAV

Sebbene ancora non sia chiaro quando Microsoft rilascerà un aggiornamento di sicurezza per la vulnerabilità che affligge l’estensione WebDAV nelle versioni 5.x e 6.0 di IIS (ved. questa pagina), il colosso di Redmond ha pubblicato le risposte ad alcune “domande frequenti” (FAQ).

La soluzione migliore per non correre rischi, consiste – come già evidenziato – nella disattivazione di WebDAV ricorrendo all’interfaccia di amministrazione del web server IIS (finestra Web Service Extensions, WebDAV, pulsante Prohibit).

Per controllare da remoto che WebDAV sia effettivamente disabilitato, è possibile servirsi dell’applicazione TELNET. E’ sufficiente, infatti, digitare al prompt dei comandi telnet www.nomedelsito.abc 80, sostituendo www.nomedelsito.abc con il dominio Internet o l’indirizzo IP d’interesse.
Alla comparsa della schermata di TELNET, è bene premere la combinazione di tasti CTRL+]: comparirà il prompt di Microsoft Telnet. A questo punto si può digitare il comando set localecho e premere due volte Invio. Questo intervento dà modo all’utente di leggere quali comandi sta inviando al server remoto.

Come passo successivo, si dovrà digitare due volte quanto segue premendo poi due volte il tasto Invio:

OPTIONS / HTTP/1.1
Host: www.nomedelsito.abc
Accept: */*

Nel caso in cui si dovesse ottenere la risposta MS-Author-Via: DAV significa che WebDAV è attivo sul server.