0-Day-Lücke in IIS

Microsoft kündigt IIS-Patch an

Mittwoch, 02.09.2009 | 14:44 von Frank Ziemann
Als erste öffentliche Reaktion auf die Offenlegung einer Sicherheitslücke in den Microsoft Internet Information Services (IIS) hat der Hersteller eine Sicherheitsmeldung heraus gegeben. Darin gibt Microsoft Empfehlungen für Schutzmaßnahmen.
IIS 5.0 - anonymer Zugriff
Vergrößern IIS 5.0 - anonymer Zugriff
© 2014

Wie gestern gemeldet , ist eine bis dahin nicht bekannte Sicherheitslücke im FTP-Dienst des zu Windows gehörenden Web-Servers IIS öffentlich gemacht worden. Ein Hacker, der sich "Kingcope" nennt, hat einen Demo-Exploit im Web veröffentlicht. Mit diesem ist es offenbar möglich in anfällige Windows-Server einzudringen und die Kontrolle über das System zu erlangen. Microsoft hat inzwischen eine Sicherheitsmeldung zur IIS-Lücke heraus gegeben.

In der Sicherheitsmeldung 975191 bestätigt Microsoft, dass IIS 5.0, 5.1 und 6.0 betroffen sind. Diese laufen unter Windows 2000, XP respektive Server 2003. Nicht anfällig ist demnach IIS 7.0 für Vista, Windows 7 und Server 2008. Reale Angriffe seien bislang nicht bekannt. Voraussetzung für einen erfolgreichen Angriff ist, dass der FTP-Dienst konfiguriert ist anonyme Anmeldungen zuzulassen. Solche Benutzer müssten Schreibrechte erhalten und neue Verzeichnisse anlegen können.

Daraus ergeben sich zwei Vermeidungsstrategien, wenn der FTP-Dienst nicht gänzlich abgeschaltet werden soll. Einerseits kann der Administrator anonymen Benutzern die Schreibrechte sperren. Das ist standardmäßig der Fall, kann jedoch im Einzelfall geändert worden sein. Die Benutzer können dann keine Dateien per FTP hochladen, jedoch WebDAV dazu nutzen.

Die andere Möglichkeit ist den FTP-Nutzern das Recht zum Anlegen von Verzeichnissen zu entziehen. Sie können dann weiterhin Dateien per FTP hochladen. Der veröffentlichte Exploit-Code basiert auf der Möglichkeit Verzeichnisse mit speziellen Namen zu erstellen. Durch Absetzen des Befehls nlst (name listing) kann ein Angreifer dann seinen Shell-Code einschleusen und ausführen.

Microsoft arbeitet nach eigenen Angaben zurzeit an einem Update, dass die Schwachstelle beseitigen soll. Einen Bereitstellungstermin lässt Microsoft wie üblich erstmal offen. Der nächste Patch Day ist am kommenden Dienstag, 8. September - das könnte knapp werden.

Mittwoch, 02.09.2009 | 14:44 von Frank Ziemann
Kommentieren Kommentare zu diesem Artikel (0)
238865