Deutsch | English

Schwachstelle im FTP-Modul von Microsoft IIS 5, 5.1 und 6

1. September 2009

Schwachstelle im FTP-Modul von Microsoft IIS 5, 5.1 und 6

Da diese Schwachstelle über das Netz ausgenützt werden kann, bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Es wurde Code zur Ausnutzung eines Fehlers im FTP-Modul des Internet Information Servers (IIS) veröffentlicht. Dieser Exploit basiert auf einem Buffer Overflow beim Ausführen des NLST Kommandos in einem speziell angelegtem Verzeichnis.

Auswirkungen

Über diesen Fehler kann beliebiger Code auf dem betroffenen Systemen ausgeführt werden. Beispielcode, der neue User anlegt oder einen Fernzugriff erlaubt, wurde bereits im Internet publiziert. Es sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Auf jeden Fall betroffen ist der IIS in der Version 5, so wie er auf Windows 2000 zu finden ist.

Die in IIS 5.1 und 6 verwendete "stack cookie protection" erschwert das Ausnützen dieser Schwachstelle deutlich. Ein Denial-of-Service Angriff auf den FTP-Dienst ist leicht möglich, eine Komprommitierung des Rechners ist hingegen deutlich schwieriger zu erreichen. Code dazu wurde noch nicht publiziert.

Für einen erfolgreichen Angriff ist es nötig, dass sich der Angreifer per FTP einloggen kann und danach die Rechte hat um Verzeichnisse anzulegen. Ersteres ist oft durch den Standardaccount für anonymen FTP-Zugang ("anonymous") möglich.

Abhilfe

Microsoft stellt noch kein Update zur Verfügung.

CERT.at empfiehlt in der Zwischenzeit:

  • Das FTP-Modul des IIS zu deaktivieren, wenn dieser Dienst nicht bewusst eingeschalten und auch benötigt wird.
  • Den anonymen FTP-Zugang abzudrehen, so dieser nicht gewünscht wird.
  • Die Schreibrechte für alle Benutzer, insbesondere "anonymous", so weit wie möglich zu limitieren.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Meldung des Internet Storm Centers
http://isc.sans.org/diary.html?storyid=7039
Demoexploit
http://milw0rm.com/exploits/9541
Meldung bei Heise
http://www.heise.de/security/
US-CERT Alert
http://www.kb.cert.org/vuls/id/276653
Advisory von Microsoft
http://www.microsoft.com/technet/security/advisory/975191.mspx
Secunia Klarstellung
http://secunia.com/blog/62/
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Ransomware/Wurm WannaCry
14. Mai 2017 | Seit ...
Kritische Lücke in verbreiteter Webshop-Software Magento - keine Updates verfügbar
14. April 2017 | Wie ...
mehr ...
Tanze (aktualisierten) Samba mit mir
26. Mai 2017 | Die Erinnerung ...
Ein paar Gedanken zu WannaCry
14. Mai 2017 | Wir haben ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2013/7/17 - 17:00:09
Haftungsausschluss