238563

FTP-Schwachstelle in Microsoft IIS

01.09.2009 | 17:03 Uhr |

Im FTP-Dienst der Web-Server-Software von Microsoft ist eine neue Sicherheitslücke entdeckt und veröffentlicht worden. Sie ermöglicht Unbefugten den vollen Zugriff auf das System, wenn der FTP-Dienst anonyme Anmeldungen zulässt.

Microsoft liefert mit den Server-Versionen von Windows einen kompletten Web-Server aus, der früher als "Internet Information Server" (IIS) bezeichnet wurde und heute "Internet Information Services" heißt. Darin steckt eine Sicherheitslücke, für die im Internet Exploit-Code veröffentlicht worden ist. Betroffen ist IIS 5.0 unter Windows 2000 Server, angeblich soll auch IIS 6.0 mit aktivierter "Stack Cookie Protection" anfällig sein.

Falls das FTP-Modul im IIS so konfiguriert ist, dass anonyme FTP-Logins erlaubt sind und Schreibrechte erteilt werden, kann ein Angreifer die Kontrolle über das System übernehmen. Der veröffentlichte Demo-Exploit legt Verzeichnisse an und lässt deren Inhalt mit dem Kommando "nlst" anzeigen. Mit speziellem Shell-Code kann der Angreifer auf Windows 2000 mit IIS 5.0 eine Hintertür ins System öffnen.

Erst im Juni dieses Jahres ist eine WebDAV-Lücke in Microsoft IIS 5/6 entdeckt worden , die es nicht autorisierten Benutzern ermöglicht auf Verzeichnisse und Dateien zuzugreifen, die eigentlich eine gültige Anmeldung erfordern.

Ein Sicherheits-Update, das die Schwachstelle beseitigen würde, ist zurzeit nicht verfügbar. Microsoft untersucht die Angelegenheit, hat allerdings bislang keine Kenntnis von realen Angriffen im Internet. Als Schutzmaßnahme sollte der Schreibzugriff nur für autorisierte Benutzer erlaubt werden.

0 Kommentare zu diesem Artikel
238563