Bisher gravierendste Sicherheitslücke im MS IIS 4

Artikel veröffentlicht am ,

Dank einer neuentdeckten Sicherheitslücke in Microsofts Internet Information Server 4.0, der auf einem Großteil kommerzieller Webserver zu finden ist, soll es erfahrenen Hackern ein leichtes sein, auf selbigen beliebige Programme auszuführen und Daten zu modifizieren oder betroffene Webserver auch "nur" abstürzen zu lassen.

Stellenmarkt
  1. Softwareentwickler*in - Angewandte Nachrichtentechnik
    Fraunhofer-Institut für Integrierte Schaltungen IIS, Erlangen
  2. Head of IT (m/f/x) Service
    UnternehmerTUM GmbH, Garching
Detailsuche

Die wohl bisher gravierendste Sicherheitslücke der Microsoft Webserver-Software wurde von der Firma eEye entdeckt, einem Entwickler für Internet-Sicherheitslösungen. Betroffen sein sollen zumindest alle Windows NT 4.0 Server mit installiertem Servicepack 3, 4 oder 5 und dem Internet Information Server 4.0 (IIS4).

Der IIS unterstützt verschiedene Dateitypen, die Server-seitig ausgeführt werden. Wenn ein Webseiten-Besucher auf diese Dateien zugreift, wird diese von einer entsprechenden Filter-DLL bearbeitet. Der entdeckte Schwachpunkt in IIS ist die ISM.DLL, die für das Verändern von Benutzer-Paßwörtern von außerhalb des Systems zuständig ist.

Die IIS Sicherheitslücke tritt zutage, wenn die ISM.DLL, die .htr Webdateien verwaltet, mit zu vielen Zeichen gefüttert wird. Der resultierende Speicherüberlauf (Buffer-Overflow) führt dazu, daß die ISM.DLL unsanft beendet wird und die überlaufenden, gesendeten Daten ins System gelangen. Normalerweise würde das zum Absturz des Webservers führen, doch mit etwas Geschick soll sich so ausführbarer Programmcode in fremde System einschleusen lassen, die einen direkten Zugriff auf selbiges ermöglichen.

Golem Karrierewelt
  1. Adobe Photoshop Aufbaukurs: virtueller Zwei-Tage-Workshop
    15./16.12.2022, Virtuell
  2. Container Management und Orchestrierung: virtueller Drei-Tage-Workshop
    06.-08.03.2023, Virtuell
Weitere IT-Trainings

Microsoft wurde von eEye über das Problem informiert und hat im Microsoft Security Bulletin (MS99-019) kurz nach dem Bekanntwerden des Problems eine erste Notlösung für betroffene Kunden veröffentlicht und versprochen, die "Malformed HTR Request Vulnerability" genannte Sicherheitslücke in den nächsten Tagen per Update zu schließen. Das ist auch dringend notwendig, denn eEye hat nicht nur die Sicherheitslücke ans Tageslicht gebracht, sondern auch ein Programm namens IIS Hack zur Demonstration veröffentlicht, das mit Sicherheit nicht nur Systemadministratoren zum Überprüfen der eigenen Webserver nutzen werden...

Es empfiehlt sich also sehr, Microsofts Rat zu befolgen und als Notlösung das Script Mapping für .HTR Dateien abzuschalten sowie des öfteren auf Microsofts Datensicherheits-Webseite unter www.microsoft.com/security nachzuschauen, ob ein Update verfügbar ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Bundesarbeitsgericht
Arbeitgeber müssen Arbeitszeiten zwingend erfassen

Das vollständige Urteil des BAG zur Arbeitszeiterfassung liegt nun vor. Diese muss zwingend erfolgen, aber nicht unbedingt elektronisch.

Bundesarbeitsgericht: Arbeitgeber müssen Arbeitszeiten zwingend erfassen
Artikel
  1. Datenschutz und Microsoft 365: Die Verantwortung für den Datenschutz liegt bei den Firmen
    Datenschutz und Microsoft 365
    "Die Verantwortung für den Datenschutz liegt bei den Firmen"

    Nach Ansicht der deutschen Datenschutzbehörden ist der Einsatz von Microsoft Office weiterhin datenschutzwidrig. Wie geht es nun weiter?
    Ein Interview von Christiane Schulzki-Haddouti

  2. Halbleiterproduktion in Leixlip: Intel will durch unbezahlten Urlaub sparen
    Halbleiterproduktion in Leixlip
    Intel will durch unbezahlten Urlaub sparen

    Angestellte des Chipherstellers sollen "freiwillige Auszeiten" nehmen. Intel will allein im kommenden Jahr 3 Milliarden US-Dollar einsparen.

  3. E-Auto-Ranking: Tesla beim ADAC-Vergleich nur im Mittelfeld
    E-Auto-Ranking
    Tesla beim ADAC-Vergleich nur im Mittelfeld

    Der ADAC hat ein neues E-Auto-Ranking für verschiedene Fahrzeugklassen veröffentlicht. Tesla ist demnach nicht mehr der Branchen-Primus.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Amazon Last Minute Angebote: Neue Rabatt-Aktion • NBB: Samsung Odyssey G5 WQHD/165 Hz 203,89€ u. Odyssey G9 49"/DQHD/240Hz 849,90€ • ViewSonic VX3258 WQHD/144 Hz 229,90€ • Mindstar: Alphacool Eiswolf 2 AiO 360 199€ • 4x Philips Hue White Ambiance 49,99€ [Werbung]
    •  /