Wat zijn 8.3 filenames (Shortnames) en waarom is het belangrijk?

Tijdens onderzoek op Microsoft IIS webservers komen we vaak shortnames tegen. Deze kwetsbaarheid wordt veroorzaakt door het tilde-teken (~) met de oude DOS 8.3-naamconventie (SFN) in een HTTP-verzoek.

(Picture 1: Voorbeeld shortnames op een windows server)

Door een webserver te scannen op shortnames kan een aanvaller op afstand bestands- en mapnamen (die normaal niet toegankelijk zouden moeten zijn) onder de webroot inzien. Aanvallers kunnen belangrijke bestanden vinden die normaal niet van buitenaf toegankelijk zijn en informatie verkrijgen over de structuur van de applicatie wat weer kan leiden tot een vervolg aanval.

(Picture 2: Voorbeeld shortnames vanaf extern)

Hoe los ik dit op?

Het wordt aanbevolen om op webservers waar IIS op draait 8.3-namen uit te schakelen door de volgende registersleutel te maken (of aan te passen):

(Picture 2: Register aanpassen om shortnames te disablen)

Nadat dit is aangepast moet de wwwroot opnieuw worden aangemaakt, omdat de wijziging in de registervermelding “NtfsDisable8dot3NameCreation” alleen van invloed is op bestanden en mappen die na de wijziging worden aangemaakt, dus de bestanden die al bestaan, worden niet gewijzigd.