Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Microsoft IIS: Lücke in Windows-Webserver erlaubt Codeausführung

Microsoft hat mit dem jüngsten Windows-Update eine schwerwiegende Sicherheitslücke in der HTTP-Verarbeitung behoben. Der entsprechende HTTP-Code läuft als Kerneltreiber.
/ Hanno Böck
37 Kommentare News folgen (öffnet im neuen Fenster)
Der verwundbare Code im HTTP.sys-Treiber (Bild: Screenshot)
Der verwundbare Code im HTTP.sys-Treiber Bild: Screenshot

Eine Sicherheitslücke in der Windows-Komponente HTTP.sys erlaubt Angreifern unter Umständen die Ausführung von bösartigem Code. Was die Lücke besonders schwerwiegend macht: HTTP.sys ist ein Kerneltreiber, damit erlaubt die Lücke die Ausführung von Code mit Systemrechten.

Erste Exploitcodes verfügbar

Bislang sind nur wenige Details zu der Sicherheitslücke bekannt. Laut dem Security Bulletin von Microsoft(öffnet im neuen Fenster) sind Windows 7, 8 und 8.1, sowie die Server-Versionen 2008 und 2012 betroffen. Die Lücke hat die Id CVE-2015-1635(öffnet im neuen Fenster) erhalten.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
IT-Administrator für die Bereitstellung von Fachanwendungen (w/m/d) Stadt Pforzheim, Pforzheim (öffnet im neuen Fenster)
Fachadministrator*in Zahlungsverkehr und Finanzsysteme IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)
Software Asset Manager (m/w/d) im Geschäftsbereich IT & Digital Health Kassenärztliche Vereinigung Westfalen-Lippe, Dortmund (öffnet im neuen Fenster)
Mitarbeiter (m/w/d) für den First-Level-Support GKD Recklinghausen Zweckverband, Gladbeck (öffnet im neuen Fenster)
Junior Digitalisierungsmanager (m/w/d) Wurm Beteiligungs GmbH, Remscheid (öffnet im neuen Fenster)
Teamlead IT / Software Development (m/w/d) InNuce Solutions GmbH, Hamburg (öffnet im neuen Fenster)
Kundenberater (m/w/d) - Webdesign Support GEDK GmbH, Berlin (öffnet im neuen Fenster)
Junior Consultant (m/f/d) - Executive Search NiK Executive Search GmbH, Ulm (öffnet im neuen Fenster)

Inzwischen sind erste(öffnet im neuen Fenster) Exploitcodes(öffnet im neuen Fenster) aufgetaucht, die allerdings nur auf das Vorhandensein der Lücke testen und nicht direkt die Ausführung von Code ermöglichen. Auch für Metasploit gibt es bereits ein Modul(öffnet im neuen Fenster) , welches auf das Vorhandensein der Lücke testet. Einige Nutzer berichteten, dass die Tests Server zum Absturz bringen können, daher sollten sie nur mit Vorsicht eingesetzt werden.

Fehlender Check des Range-Headers

Die Sicherheitslücke wird offenbar dadurch ausgelöst, wenn man einen HTTP-Range-Header mit besonders großen Werten an den Server schickt.

Nutzer von Windows-Servern sollten ihr System umgehend aktualisieren. Als Workaround kann laut Microsoft auch das Kernel-Caching des IIS-Webservers deaktiviert werden(öffnet im neuen Fenster) . Neben der kritischen Lücke in HTTP.sys hat Microsoft insgesamt zehn weitere Security Bulletins und dazugehörige Updates veröffentlicht(öffnet im neuen Fenster) .

Zur Startseite 37 Kommentare

Relevante Themen

SoftwareUnternehmenssoftwareBetriebssystemeSecuritySicherheitslückeWissenInnovation & ForschungTechnologieDatensicherheit