02.09.2009, 14:44

Frank Ziemann

0-Day-Lücke in IIS

Microsoft kündigt IIS-Patch an

Als erste öffentliche Reaktion auf die Offenlegung einer Sicherheitslücke in den Microsoft Internet Information Services (IIS) hat der Hersteller eine Sicherheitsmeldung heraus gegeben. Darin gibt Microsoft Empfehlungen für Schutzmaßnahmen.
Wie gestern gemeldet, ist eine bis dahin nicht bekannte Sicherheitslücke im FTP-Dienst des zu Windows gehörenden Web-Servers IIS öffentlich gemacht worden. Ein Hacker, der sich "Kingcope" nennt, hat einen Demo-Exploit im Web veröffentlicht. Mit diesem ist es offenbar möglich in anfällige Windows-Server einzudringen und die Kontrolle über das System zu erlangen. Microsoft hat inzwischen eine Sicherheitsmeldung zur IIS-Lücke heraus gegeben.
In der Sicherheitsmeldung 975191 bestätigt Microsoft, dass IIS 5.0, 5.1 und 6.0 betroffen sind. Diese laufen unter Windows 2000, XP respektive Server 2003. Nicht anfällig ist demnach IIS 7.0 für Vista, Windows 7 und Server 2008. Reale Angriffe seien bislang nicht bekannt. Voraussetzung für einen erfolgreichen Angriff ist, dass der FTP-Dienst konfiguriert ist anonyme Anmeldungen zuzulassen. Solche Benutzer müssten Schreibrechte erhalten und neue Verzeichnisse anlegen können.
Daraus ergeben sich zwei Vermeidungsstrategien, wenn der FTP-Dienst nicht gänzlich abgeschaltet werden soll. Einerseits kann der Administrator anonymen Benutzern die Schreibrechte sperren. Das ist standardmäßig der Fall, kann jedoch im Einzelfall geändert worden sein. Die Benutzer können dann keine Dateien per FTP hochladen, jedoch WebDAV dazu nutzen.
Die andere Möglichkeit ist den FTP-Nutzern das Recht zum Anlegen von Verzeichnissen zu entziehen. Sie können dann weiterhin Dateien per FTP hochladen. Der veröffentlichte Exploit-Code basiert auf der Möglichkeit Verzeichnisse mit speziellen Namen zu erstellen. Durch Absetzen des Befehls nlst (name listing) kann ein Angreifer dann seinen Shell-Code einschleusen und ausführen.
Microsoft arbeitet nach eigenen Angaben zurzeit an einem Update, dass die Schwachstelle beseitigen soll. Einen Bereitstellungstermin lässt Microsoft wie üblich erstmal offen. Der nächste Patch Day ist am kommenden Dienstag, 8. September - das könnte knapp werden.
Diskutieren Sie mit anderen Lesern über dieses Thema:
PC-WELT Hacks
PC-WELT Hacks Logo
Technik zum Selbermachen

3D-Drucker selbst bauen, nützliche Life-Hacks für den PC-Alltag und exotische Projekte rund um den Raspberry Pi. mehr

- Anzeige -
PC-WELT Specials
238865
Content Management by InterRed