Microsoft анонсировала выпуск расширения ModSecurity для IIS

Компания Microsoft на конференции Black Hat, проходящей в Лас-Вегасе, 25 июля текущего года анонсировала возможности релиз-кандидата популярного открытого защитного продукта ModSecurity для IIS (Internet Information Server), участие в разработке которого принимали специалисты корпорации.

Отметим, что исследователи чаще всего применяют ModSecurity в качестве защитного ПО под названием «виртуальные исправления» (virtual patching).

По словам разработчиков, файл конфигурации «c:\inetpub\wwwroot\test.conf» содержит директивы, аналогичные тем, которые используются в web-серверах Apache.

Как сообщают эксперты, установщик продукта ModSecurity не совместим с текущими web-приложениями. Перед тем как начнетяся процесс инсталяции необходимо осуществить презапуск пула приложений, при этом релиз-кандидат ModSecurity для IIS, требует осуществление перезагрузки приложений каждый раз после изменения файла конфигурации.

При использовании дополнения ModSecurity на компьютере пользователя, программа устраняет уязвимости, используя цепочку определенных правил.

Например, при попытке эксплуатации вредоносной программой уязвимости CVE-2011-3414 , дополнение ModSecurity использует набор правил для ограничения размера запроса, ограничения количества аргументов, а также для определения набора повторяющихся нагрузок, которые позволяют устранить уязвимость. При этом система выдает сообщение о том, что доступ заблокирован при помощи продукта ModSecurity. В то же время хакер получает уведомление сервера об ошибке 403, до того, как он сможет воспользоваться уязвимым компонентом системы.

Подробнее с функциями релиз-кандидата защитного модуля ModSecurity можно ознакомиться здесь.