Abo
  • Services:
Anzeige

Weitere gravierende Sicherheitslücke im Microsoft IIS (Upd.)

Privilege Escalation Vulnerability - Angreifer erlangen volle Systemkontrolle

Eine neu entdeckte, "Privilege Escalation Vulnerability" getaufte Sicherheitslücke im Microsoft Internet Information Server (IIS) erlaubt es Angreifern, mit Gast-Privilegien Programme mit Administrator-Rechten auszuführen. Diese Programme müssen nur in DLL-Form ins IIS Virtual Directory gespielt werden und lassen sich dann starten.

Anzeige

Grund dafür ist eine Schwäche in der Prozess-Isolation des IIS. Dieser bietet drei verschiedene Modi, die festlegen, wie gut der IIS-Prozess von anderen aufgerufenen Prozessen isoliert ist. In der unsichersten Isolations-Stufe werden verschiedene DLL-Dateien immer ausgeführt, unabhängig von den geltenden Prozess-Isolations-Einstellungen. Durch Hinzufügen von neuen oder Ersetzen einer dieser DLLs durch eine "bösartige" Version kann ein Angreifer beliebigen Programmcode mit Administrator-Privilegien aufrufen.

Die Sicherheitslücke kann vom Angreifer auf zwei verschiedene Arten genutzt werden. Zum einen lassen sich bekannte Angriffsmethoden nutzen, um Dateien ins IIS Virtual Directory zu kopieren und auszuführen. Zum anderen kann er, wenn er eine gültige Zugriffsberechtigung hat, ein Programm in den IIS Virtual Tree laden und dort starten. Entdeckt wurde die Sicherheitslücke vom US-Unternehmen Entercept Security Technologies.

Im Microsoft Security Bulletin MS01-044 hat der Redmonder Softwarehersteller ein Paket von Sicherheits-Patches geschnürt, das sich neben Code Red und anderem auch der "Privilege Escalation Vulnerability" annimmt. Zum Download stehen zwei Versionen bereit: Eine für den IIS 4.0, die jeweils alle Sicherheits-Patches seit dem letzten Service-Pack 5 für Windows NT 4.0 enthält. Außerdem gibt es eine Fassung für Windows 2000 und den Nachfolger IIS 5.0, die alle bisher dafür erhältlichen Sicherheits-Patches umfasst.

Update:
Seit heute Mittag gibt es immerhin den Sicherheits-Patch für Windows 2000 und IIS 5.0 auch in einer deutschsprachigen Version. Auch für den auf deutschsprachigen NT-4.0-Systemen laufenden IIS 4.0 gibt es jetzt einen lokalisierten Patch.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. Universitätsklinikum Bonn, Bonn
  2. Bundeskriminalamt, Wiesbaden
  3. Nordischer Maschinenbau Rud. Baader GmbH & Co. KG, Lübeck
  4. W&W Asset Management GmbH, Ludwigsburg


Anzeige
Spiele-Angebote
  1. (-20%) 35,99€
  2. 19,99€
  3. ab 47,99€

Folgen Sie uns
       

  1. Mate 10 Pro im Test

    Starkes Smartphone mit noch unauffälliger KI

  2. Diamond Omega

    Randloses Topsmartphone mit zwei Dual-Kameras für 500 Euro

  3. Adobe

    Deep Fill denkt beim Retuschieren Bildelemente dazu

  4. Elektroautos

    Tesla will Autos in China bauen

  5. Mirai-Nachfolger

    Experten warnen vor "Cyber-Hurrican" durch neues Botnetz

  6. Europol

    EU will "Entschlüsselungsplattform" ausbauen

  7. Krack-Angriff

    AVM liefert erste Updates für Repeater und Powerline

  8. Spieleklassiker

    Mafia digital bei GoG erhältlich

  9. Air-Berlin-Insolvenz

    Bundesbeamte müssen videotelefonieren statt zu fliegen

  10. Fraport

    Autonomer Bus im dichten Verkehr auf dem Flughafen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
ZFS ausprobiert: Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
ZFS ausprobiert
Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
  1. Librem 5 Purism zeigt Funktionsprototyp für freies Linux-Smartphone
  2. Pipewire Fedora bekommt neues Multimedia-Framework
  3. Linux-Desktops Gnome 3.26 räumt die Systemeinstellungen auf

Verschlüsselung: Niemand hat die Absicht, TLS zu knacken
Verschlüsselung
Niemand hat die Absicht, TLS zu knacken
  1. RSA-Sicherheitslücke Infineon erzeugt Millionen unsicherer Krypto-Schlüssel
  2. TLS-Zertifikate Zertifizierungsstellen müssen CAA-Records prüfen
  3. Certificate Transparency Webanwendungen hacken, bevor sie installiert sind

Zotac Zbox PI225 im Test: Der Kreditkarten-Rechner
Zotac Zbox PI225 im Test
Der Kreditkarten-Rechner

  1. Re: Klinke

    sundilsan | 09:38

  2. Vorbei sind die Zeiten...

    FearTheDude | 09:37

  3. War der erste Chip der mit Neuralen Netzen...

    JarJarThomas | 09:36

  4. Re: Asse 2.0

    beuteltier | 09:35

  5. Re: Da fällt Trump die Kinnlade runter

    nicoledos | 09:32


  1. 09:00

  2. 07:49

  3. 07:43

  4. 07:12

  5. 14:50

  6. 13:27

  7. 11:25

  8. 17:14


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel