MS Web-Server-Dienst führt eingeschleuste Dateien aus

Web-Server, die unter Windows laufen, nutzen oft die Microsoft Internet Information Services (IIS). Darin ist kürzlich eine Sicherheitslücke entdeckt und bekannt gemacht worden, die das Ausführen von hochgeladenen Dateien ermöglicht. Die Schwachstelle betrifft IIS-Versionen bis einschließlich 6.0 in bestimmten, vom Betreiber angepassten Konfigurationen.

Websites, die Benutzern das Hochladen von Dateien, etwa Bildern, erlauben und Dateitypen lediglich an Hand der Dateierweiterung filtern, können für diese Schwachstelle anfällig sein. Um die Lücke auszunutzen, muss ein Angreifer lediglich mehrere, durch ein Semikolon getrennte Dateiendungen verwenden. So kann er etwa eine Datei namens "dateiname.asp;.jpg" hochladen, die ASP-Code (Active Server Pages) enthält. Sie wird zunächst als vermeintliches JPEG-Bild durch gelassen und kann dann auf dem Server als ASP-Datei ausgeführt werden.

Diese Sicherheitslücke wird von ihrem Entdecker, Soroush Dalili, als "hoch kritisch" bezeichnet. Der Sicherheitsdienstleister Secunia stuft sie hingegen als weniger kritisch ein. Laut Secunia ist zum Beispiel Windows Server 2003 R2 SP2 mit allen Sicherheits-Updates anfällig, wenn darauf IIS 6.0 läuft. Nach Einschätzung von Patrick Nolan vom Internet Storm Center (ISC) könnte es recht bald eine breite Ausnutzung dieser Schwachstelle geben.

Microsoft hat im Blog seines Sicherheitsteams bestätigt, dass es eine solche Lücke gibt, hält sich jedoch einstweilen mit Details über betroffene Versionen und Konfigurationen zurück. Jerry Bryant schreibt, die Lücke lasse sich nur ausnutzen, wenn die Konfiguration des IIS nicht den Vorgaben und Empfehlungen von Microsoft entspreche. Microsoft untersuche die Lücke noch und werde dann geeignete Maßnahmen zum Schutz seiner Kunden ergreifen, etwa ein Sicherheits-Update bereit stellen.