Denegación de servicio en Microsoft IIS 5.1

a realización de peticiones anónimas maliciosas pueden cesar la
ejecución del proceso del servicio IIS (inetinfo.exe). Estas
peticiones sólo requieren que se envíen ciertas cadenas para provocar la caída del servicio. Un ejemplo de petición maliciosa sería la siguiente:
http://[direccion]/_vti_bin/.dll/*\~0  

Este problema es explotable en instalaciones con carpetas virtuales  que tengan permisos de ejecución para scripts y ejecutables, como  puede ser "<webroot>/_vti_bin".

Si bien el problema afecta a la versión 5.1 de IIS, se confirma que
las versiones 5.0 y 6.0 no se ven afectadas. Se informa además de que IIS 5.1 arrancará automáticamente tras su caída, aunque la denegación de servicio puede perpetuarse mediante la repetición continuada de peticiones maliciosas.

A la espera de la publicación de un parche que solvente este problema, se recomienda filtrar en las peticiones los caracteres maliciosos ("~0", "~1", "~2", "~3", "~4", "~5", "~6", "~7", "~8", o "~9", sin las comillas) usando un proxy que ofrezca dicha funcionalidad.


Más Información:

Microsoft IIS Malformed URI DoS (_vti_bin, _sharepoint)
http://www.securiteam.com/windowsntfocus/6E00E2KEUS.html

Microsoft IIS Remote DoS .DLL Url exploit
http://ingehenriksen.blogspot.com/2005/12/microsoft-iis-remote-dos-dll-url.html