• IT-Karriere:
  • Services:

Weitere gravierende Sicherheitslücke im Microsoft IIS (Upd.)

Privilege Escalation Vulnerability - Angreifer erlangen volle Systemkontrolle

Eine neu entdeckte, "Privilege Escalation Vulnerability" getaufte Sicherheitslücke im Microsoft Internet Information Server (IIS) erlaubt es Angreifern, mit Gast-Privilegien Programme mit Administrator-Rechten auszuführen. Diese Programme müssen nur in DLL-Form ins IIS Virtual Directory gespielt werden und lassen sich dann starten.

Artikel veröffentlicht am ,

Grund dafür ist eine Schwäche in der Prozess-Isolation des IIS. Dieser bietet drei verschiedene Modi, die festlegen, wie gut der IIS-Prozess von anderen aufgerufenen Prozessen isoliert ist. In der unsichersten Isolations-Stufe werden verschiedene DLL-Dateien immer ausgeführt, unabhängig von den geltenden Prozess-Isolations-Einstellungen. Durch Hinzufügen von neuen oder Ersetzen einer dieser DLLs durch eine "bösartige" Version kann ein Angreifer beliebigen Programmcode mit Administrator-Privilegien aufrufen.

Stellenmarkt
  1. ADAC IT Service GmbH, München
  2. Stadtverwaltung Eisenach, Eisenach

Die Sicherheitslücke kann vom Angreifer auf zwei verschiedene Arten genutzt werden. Zum einen lassen sich bekannte Angriffsmethoden nutzen, um Dateien ins IIS Virtual Directory zu kopieren und auszuführen. Zum anderen kann er, wenn er eine gültige Zugriffsberechtigung hat, ein Programm in den IIS Virtual Tree laden und dort starten. Entdeckt wurde die Sicherheitslücke vom US-Unternehmen Entercept Security Technologies.

Im Microsoft Security Bulletin MS01-044 hat der Redmonder Softwarehersteller ein Paket von Sicherheits-Patches geschnürt, das sich neben Code Red und anderem auch der "Privilege Escalation Vulnerability" annimmt. Zum Download stehen zwei Versionen bereit: Eine für den IIS 4.0, die jeweils alle Sicherheits-Patches seit dem letzten Service-Pack 5 für Windows NT 4.0 enthält. Außerdem gibt es eine Fassung für Windows 2000 und den Nachfolger IIS 5.0, die alle bisher dafür erhältlichen Sicherheits-Patches umfasst.

Update:
Seit heute Mittag gibt es immerhin den Sicherheits-Patch für Windows 2000 und IIS 5.0 auch in einer deutschsprachigen Version. Auch für den auf deutschsprachigen NT-4.0-Systemen laufenden IIS 4.0 gibt es jetzt einen lokalisierten Patch.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 23,49€
  2. 13,99€
  3. 4,99€

Folgen Sie uns
       


Asus Zephyrus G14 - Hands on (CES 2020)

Das Zephyrus G14 von Asus ist ein Gaming-Notebook, das nicht nur gute Hardware bietet, sondern ein zusätzliches LED-Display auf der Vorderseite. Darauf können Nutzer eigene Schriftzüge, Logos oder Animationen anzeigen lassen.

Asus Zephyrus G14 - Hands on (CES 2020) Video aufrufen
Dreams im Test: Bastelwastel im Traumiversum
Dreams im Test
Bastelwastel im Traumiversum

Bereits mit Little Big Planet hat das Entwicklerstudio Media Molecule eine Kombination aus Spiel und Editor produziert, nun geht es mit Dreams noch ein paar Schritte weiter. Mit dem PS4-Titel muss man sich fast schon anstrengen, um nicht schöne Eigenkreationen zu erträumen.
Ein Test von Peter Steinlechner

  1. Ausdiskutiert Sony schließt das Playstation-Forum
  2. Sony Absatz der Playstation 4 geht weiter zurück
  3. PS4-Rücktasten-Ansatzstück im Test Tuning für den Dualshock 4

Leistungsschutzrecht: Drei Wörter sollen ...
Leistungsschutzrecht
Drei Wörter sollen ...

Der Vorschlag der Bundesregierung für das neue Leistungsschutzrecht stößt auf Widerstand bei den Verlegerverbänden. Überschriften mit mehr als drei Wörtern und Vorschaubilder sollen lizenzpfichtig sein. Dabei wenden die Verlage einen sehr auffälligen Argumentationstrick an.
Eine Analyse von Friedhelm Greis

  1. Leistungsschutzrecht Memes sollen nur noch 128 mal 128 Pixel groß sein
  2. Leistungsschutzrecht Französische Verlage reichen Beschwerde gegen Google ein
  3. Leistungsschutzrecht Französische Medien beschweren sich über Google

Videostreaming: Was an Prime Video und Netflix nervt
Videostreaming
Was an Prime Video und Netflix nervt

Eine ständig anders sortierte Watchlist, ein automatisch startender Stream oder fehlende Markierungen für Aboinhalte: Oft sind es nur Kleinigkeiten, die den Spaß am Streaming vermiesen - eine Hassliste.
Ein IMHO von Ingo Pakalski

  1. Dispatch Open-Source-Krisenmanagement à la Netflix
  2. Videostreaming Netflix integriert Top-10-Listen für Filme und TV-Serien
  3. WhatsOnFlix Smartphone-App für bessere Verwaltung der Netflix-Inhalte

    •  /