11902

Cracker-Tool gegen Microsoft-Lücke

04.05.2001 | 16:04 Uhr |

Zwei Tage nachdem Microsoft eine äußerst ernsthafte Sicherheitslücke in Windows 2000 bekannt gab, ist im Internet ein Tool aufgetaucht, mit dessen diese Lücke ausgenutzt werden kann. Ein Patch, der von Microsoft zur Verfügung gestellt wird, behebt das Problem allerdings.

Erst vor zwei Tagen hat Microsoft bekannt gegeben, dass ein Teil des Internet Information Services (IIS) 5.0 in Windows 2000 eine Sicherheitslücke aufweist. Dadurch könnte die Kontrolle über einen Server, der diese Software verwendet, von einem Angreifer übernommen werden.

Microsoft hat jedoch noch am gleichen Tag einen Patch veröffentlicht, der dieses Problem beseitigen soll. Gleichzeitig ist aber auch ein Cracker-Tool im Internet aufgetaucht, das ein Ausnutzen der Sicherheitslücke erleichtert. Dazu soll keinerlei technisches Wissen vonnöten sein.

Die Funktionsweise: Indem eine spezielle Zeichenkette an den Server geschickt wird, kann durch das Druckmodul ein Angreifer vollen Zugang zum Webserver erhalten. Die Sicherheitslücke wurde ursprünglich bereits zehn Tage bevor Microsoft das Problem bekannt gab, von dem Sicherheitsunternehmen eEye Digital Security entdeckt. Die Firma hat daraufhin ein eigenes Tool veröffentlicht, das die Lücke ausnutzt.

Das Unternehmen wusste um die Gefährlichkeit des Softwarefehlers und hatte deshalb am Dienstag so ausdrücklich darauf hingewiesen, meinte eine Sprecherin von Microsoft. Wenn die IIS-Server Kunden den Patch installiert haben, sei das Problem jeoch behoben, so die Sprecherin und fügte hinzu: "Wer den Patch jedoch noch nicht installiert hat, sollte durch die Verfügbarkeit eines Tools, das die Lücke ausnutzt, alarmiert werden und das Update sofort installieren."

Das ursprüngliche Sicherheits-Bulletin von Microsoft und der Patch stehen im Internet zur Verfügung. (PC-WELT, 04.05.2001, lb)

Microsoft Sicherheits-Bulletin

Microsoft-Patch

Microsoft hat Virus verbreitet (PC-WELT Online, 25.04.2001)

Patch für Internet Explorer (PC-WELT Online, 23.04.2001)

Sicherheitslücke im Internet Explorer (PC-WELT Online, 30.03.2001)

Microsoft: Passwörter zugänglich (PC-WELT Online, 29.03.2001)

Falsches Microsoft-Sicherheitszertifikat (PC-WELT Online, 23.03.2001)

0 Kommentare zu diesem Artikel
11902