Sicherheitsloch in Microsofts Internet Information Services

Microsoft stuft Gefahr als gering ein. Über die Weihnachtsfeiertage wurde ein Sicherheitsloch in Microsofts Internet Information Services (IIS) bekannt. Angreifer können darüber Schadcode ausführen. Über die Gefährlichkeit der Sicherheitslücke gibt es widersprüchliche Angaben.

28. Dezember 2009 um 11:09 Uhr / Ingo Pakalski

14 Kommentare News folgen (öffnet im neuen Fenster)

In Microsofts Internet Information Services (IIS) Version 6.x sowie älteren IIS-Systemen wurde ein Sicherheitsloch gefunden. Entdeckt wurde der Fehler von Soroush Dalili(öffnet im neuen Fenster) nach eigenen Angaben bereits im April 2008. Warum er den Fehler ausgerechnet über die Weihnachtsfeiertage 2009 öffentlich machte, ist nicht bekannt. Über das Sicherheitsloch können Unbefugte Schadcode auf einem Windows-Server ausführen. Das Einschleusen etwa von ASP-Code ist möglich, indem an eine ASP-Datei eine mit einem Semikolon versehene Dateiendung angehängt wird.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

IT-Spezialist ERP-Schnittstellen (m/w/d) A.T.U Auto-Teile-Unger GmbH & Co. KG, Weiden,Home Office (öffnet im neuen Fenster)

Produkt- und Anforderungsmanagerin / Produkt- und Anforderungsmanager - Implementierungseinheit (w/m/d) Bundesanstalt für Immobilienaufgaben, Bonn (öffnet im neuen Fenster)

Change Manager (m/w/d) SAP S/4HANA medac Gesellschaft für klinische Spezialpräparate mbH, Wedel (öffnet im neuen Fenster)

Proposal / Bid Manager (m/w/d) INIT Group, Karlsruhe (öffnet im neuen Fenster)

Duales Studium zum Bachelor of Engineering Technisches Facility Management (w/m/d) Bundesanstalt für Immobilienaufgaben, Berlin (öffnet im neuen Fenster)

Abschlussarbeit: Künstliche Intelligenz im Gesundheitswesen (Pflege, Medizin oder Management) Krankenhaus für Naturheilweisen, München (öffnet im neuen Fenster)

Berater:in (m/w/d) für das Projekt „KI-Kompetenz Rheinisches Revier (KIK:RR) TBS beim DGB NRW e. V., Düsseldorf (öffnet im neuen Fenster)

SAP-Business Consultant FI/CO (m/w/d) HELUKABEL GmbH, Hemmingen (öffnet im neuen Fenster)

Der Dateiname sähe also so aus: file.asp;.jpg. Damit lassen sich Server durcheinander bringen, die lediglich die Dateiendung berücksichtigen, um festzustellen, ob ein Code ausgeführt werden darf. Dalili stuft das Sicherheitsloch als gefährlich ein. Die Sicherheitsexperten von Secunia(öffnet im neuen Fenster) sehen allerdings nur eine geringe Gefährlichkeit.

Microsoft weist in einer Stellungnahme(öffnet im neuen Fenster) darauf hin, dass IIS nur dann für einen solchen Angriff anfällig ist, wenn das System anders konfiguriert und bewusst unsicher eingestellt wurde. Nach Ansicht von Microsoft muss ein Angreifer Zugriff auf das System, sowie Schreibzugriff auf die Web-Server-Verzeichnisse haben. Microsoft machte noch keine Angaben, wann mit einem Patch zu rechnen ist.

Zur Startseite 14 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Exploit-Code für Microsofts April-Patch kursiert im Internet

Redmond empfiehlt dringende Einspielung der April-Patches. In einer aktuellen Mitteilung warnt Microsoft Kunden vor einem Exploit für den Internet Information Services (IIS), der eine im April 2004 bekannte PCT-/SSL-Sicherheitslücke ausnutze. Darüber könne ein Angreifer Programmcode auf einem fremden System ausführen - entsprechende Patches veröffentlichte Microsoft Mitte April 2004 - also in diesem Monat.

Internet-Attacke auf den Internet Explorer vorerst abgewehrt

Patch für den Internet Explorer lässt aber weiter auf sich warten. Wie Microsoft in einer Presseverlautbarung bekannt gab, konnte größerer Schaden durch die am Freitag bekannt gewordene erhöhte Gefährdung durch den Webseiten-Besuch mit dem Internet Explorer verhindert werden, indem der Server zur Einschleusung von schadhafter Software deaktiviert wurde. Ferner nannte Microsoft weitere Details, ohne jedoch den ausstehenden Patch für den Internet Explorer nachzureichen.

Zugriffsbeschränkung in Microsofts ASP .NET leicht umgehbar

Sicherheitsleck in allen Versionen von ASP .NET unter Microsofts IIS. Durch eine leichte Abänderung einer URL lässt sich eine sonst zwingend erforderliche Autorisierungsabfrage von ASP .NET umgehen, so dass ein Angreifer unberechtigten Zugang auf womöglich vertrauliche Informationen erhält. Das Sicherheitsloch betrifft alle Versionen von ASP .NET unter Microsofts IIS - bislang steht noch kein Patch bereit, aber Administratoren können sich durch ein spezielles Modul für ASP. NET gegen etwaige Angriffe schützen.

Relevante Themen