159456

WebDAV-Lücke in Microsoft IIS 5/6

19.05.2009 | 17:06 Uhr |

In den Microsoft Internet Information Services steckt eine Schwachstelle, die es nicht autorisierten Benutzern ermöglicht auf Verzeichnisse und Dateien zuzugreifen, die eigentlich eine gültige Anmeldung erfordern.

Microsoft hat eine Sicherheitslücke in seiner Web-Server-Software bestätigt, die in der letzten Woche bekannt geworden ist. Sie betrifft die Internet Information Services (IIS), Version 5 und 6. Unter bestimmten Bedingungen können anonyme Benutzer, also etwa Besucher einer Website, über die WebDAV-Schnittstelle Lesezugriff auf Dateien und Verzeichnisse erlangen, die an sich nur angemeldeten Benutzer zugänglich sein sollten.

Microsoft hat die Sicherheitsmeldung 9714 92 veröffentlicht, wonach die Versionen 5.0, 5.1 sowie 6.0 der Internet Information Services anfällig sind. Die IIS-Version 7.0 soll hingegen nicht betroffen sein. Damit die Schwachstelle ausgenutzt werden kann, muss die WebDAV-Schnittstelle aktiviert sein. Dies ist zumindest bei IIS 6.0 auf Windows Server 2003 nicht standardmäßig der Fall.

Ein Angreifer kann gegebenenfalls mit einer speziellen HTTP-Abfrage Verzeichnisse auslesen, auf die eigentlich nur autorisierte Benutzer Zugriff haben sollten. Dazu muss er etwa das Zeichen "/" in Unicode setzen. Eventuell auf Ebene des Dateisystems (NTFS) gesetzte Zugriffsrechte werden dennoch wirksam, können also den Zugriff verhindern. Falls anonymen Benutzern ausdrücklich Schreibrechte eingeräumt worden sind, können sie auch Dateien auf den Server laden.

Angriffe auf diese Schwachstelle sind laut Microsoft bislang nicht bekannt. Als Vermeidungsstrategie empfiehlt Microsoft die Abschaltung von WebDAV. Wenn diese Schnittstelle benötigt wird, können die Zugriffsrechte mit NTFS ACLs (Access Control Lists) eingeschränkt werden. Weitere Informationen finden Sie auch im Microsoft-Blog "Security Research & Defense" .

Bereits vor einigen Jahren gab es eine recht ähnliche Schwachstelle in IIS 4.0 und 5.0.

0 Kommentare zu diesem Artikel
159456