Sicherheitslücke in Microsoft IIS bestätigt Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


29.12.2009 Michaela Holy

Sicherheitslücke in Microsoft IIS bestätigt

Durch eine Sicherheitslücke in Microsofts Webserver IIS ist es möglich, einen beliebigen ASP-Code, der als Bild getarnt ist, zur Ausführung zu bringen. Microsoft bestätigte die Sicherheitslücke, ohne genau anzugeben, welche Versionen betroffen sind.

Soroush Dalili, Spezialist für Penetration Testing und Web Security, hat eine Sicherheitslücke in Microsofts Webserver IIS entdeckt. Unter Ausnutzung dieser Lücke ist es möglich, ein als Bild getarntes ASP-Skript mit beliebigem Code auf dem Webserver zur Ausführung zu bringen, wenn ein Websitebetreiber das Anschauen eines Bildes direkt nach dem Hochladen erlaubt. Das ist häufig bei Benutzerprofilbilden in Foren oder sozialen Netzwerken der Fall. Durch Tests belegt zeigte Dalili, dass alle IIS-Versionen bis einschließlich 6.0. betroffen sind. IIS 6.0 wird mit Windows Server 2003 ausgeliefert. IIS 7.5 aus Windows Server 2008 R2 ist nicht betroffen. IIS 7.0 hat Dalili bisher nicht getestet.

Verschiedene Versionen der Microsoft Internet Information Services (IIS) enthalten eine Sicherheitslücke, die nach Angaben des Entdeckers Soroush Dalili dazu genutzt werden könnte, Schadcode auf Windows-Webserver zu schleusen und auszuführen, die IIS-Dienste nutzen. Wie Dalili erläutert, handelt es sich um ein Problem beim Parsen von Dateinamen mit Semikolon-Erweiterung in IIS. Durch das Anhängen etwa von ";.jpg" an eine .asp-Datei, könnten Systeme, die die Ausführbarkeit von Code lediglich anhand der letzten Dateiendung analysieren, überlistet werden; eine Datei "malicious.asp;.jpg" würde auf dem Server dann als .asp-Datei ausgeführt.

Betroffen sind Dalilis Angaben zufolge die IIS-Versionen 6 und früher. Der Sicherheitsdienstleister Secunia hat die Lücke inzwischen für einen Windows Server 2003 R2 SP2 mit IIS 6 bestätigt. Anders als Dalili, der von einer "hochkritischen" Lücke ausgeht, stuft Secunia die Schwachstelle als "less critical" ein, die zweitniedrigste Stufe in der Secunia-Sicherheitslücken-Hierarchie. Das Internet Storm Center befürchtet jedoch, dass die Schwachstelle schon bald in großem Stil ausgenutzt werden könnte, um in Netzwerke einzudringen. Solange es keinen Patch gibt, sollten Webmaster die Ausführung von Code in Upload-Verzeichnissen generell unterbinden.

MICROSOFT BESTÄTIGT IIS-LÜCKE Microsoft hat die Sicherheitslücke in seinem Webserver-Produkt IIS bestätigt, ohne allerdings genau anzugeben, welche Versionen betroffen sind. Dem Entdecker der sogenannten Semikolon-Lücke zufolge sind die Versionen bis einschließlich 6 verwundbar.

Laut Security Response Center (MSRC) untersuche man die Lücke und habe bislang keine Hinweise, dass Angreifer diese zum Kompromittieren von Servern bereits ausnutzen würden. Ein Hindernis dabei sind laut Microsoft die Umstände, die dafür erfüllt sein müssen: der Angreifer muss sich am Server authentifiziert haben, Schreib/Upload-Rechte auf ein Verzeichnis haben und für das Verzeichnis müssen die Rechte zum Ausführen von Code gegeben sein.

Obwohl diese Punkte auf keine Standardinstallation zutreffen, gehen die Einschätzungen über das Risiko erheblich auseinander. Der Sicherheitsdienstleister Secunia schätzt die Bedrohung als weniger kritisch ein. Das Internet Storm Center stuft das Problem als kritisch ein und empfiehlt betroffenen Anwendern bis zur Verfügbarkeit eines Patches die Installation abzusichern. Ein 8-Punkte-Plan des ISC soll dabei Hilfestellung geben. Auch Microsoft führt in seiner ersten Reaktion auf die Lücke einige Links zu Anleitungen mit Tipps zur Absicherung des Servers auf.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema


Hosted by:    Security Monitoring by: