Deutsch | English

Kritische Sicherheitslücke in Microsofts IIS

28. Dezember 2009

Kritische Sicherheitslücke in Microsofts IIS.

Wegen der Dringlichkeit und der zu erwartenden Tragweite des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Laut Angaben eines unabhängigen IT Sicherheitsexperten sind Microsofts Internet Information Services (IIS) aktuell von einer gravierenden Verwundbarkeit betroffen.

Ein Angreifer könnte sich den Umstand unterschiedlicher Ansätze der Namensverifikation von hochzuladenden bzw. auszuführenden Dateien zwischen (typischen) Webapplikationen und den IIS, zum Einschleusen von Schadcode auf dem betroffenen Server, zu Nutze machen.
Beispielsweise wird ein Dateiname wie "beispiel.asp;.jpg" üblicherweise von Webapplikationen aufgrund des abschließenden Suffixes ".jpg" zum Upload akzeptiert. Seitens der IIS würde diese Datei allerdings als ASP angesehen und bei Abruf ausgeführt werden.

Auswirkungen

Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.

Es ist zu erwarten, dass diese einfachst auszunützende Schwachstelle schon bald in großem Stil ausgenützt wird.

Betroffene Systeme

Laut aktuellem Wissensstand sind alle älteren Versionen des IIS bis inklusive Version 6 betroffen. Eine Überprüfung der Version 7 ist noch ausständig. Die Version 7.5 ist laut Information des Entdeckers (Stand vom 25. Dezember) nicht betroffen.

Abhilfe

Microsoft stellt noch kein Update zur Verfügung.

Über die Rechte des Upload-Verzeichnisses kann die Ausführung von Code in selbigem unterbunden werden. Dies ist über die Eigenschaften des betreffenden Vezeichnisses im IIS Manager zu erreichen.

Grundsätzlich ist es empfehlenswert, Upload-Verzeichnissen keinerlei Ausführungsrechte zu gewähren.

Da die Behebung dieses riskanten Zusammenspiels auf beiden Seiten, also auf IIS, wie auch Webapplikationen zu erwarten ist, sollte unbedingt auch mit Updates etwaiger CMS-Lösungen gerechnet werden.

Hinweis

Generell empfiehlt CERT.at, womöglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Bericht des Entdeckers
http://soroush.secproject.com/downloadable/iis-semicolon-report.pdf
Stellungnahme vom Microsoft Security Response Center (Englisch)
http://blogs.technet.com/msrc/archive/2009/12/27/new-reports-of-a-vulnerability-in-iis.aspx
Meldung auf Heise
http://www.heise.de/security/meldung/Sicherheitsluecke-in-Microsoft-IIS-892828.html
Meldung des Internet Storm Center (ISC) von SANS (Englisch)
http://isc.sans.org/diary.html?storyid=7816
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Ransomware/Wurm WannaCry
14. Mai 2017 | Seit ...
Kritische Lücke in verbreiteter Webshop-Software Magento - keine Updates verfügbar
14. April 2017 | Wie ...
mehr ...
Tanze (aktualisierten) Samba mit mir
26. Mai 2017 | Die Erinnerung ...
Ein paar Gedanken zu WannaCry
14. Mai 2017 | Wir haben ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2013/7/17 - 17:00:09
Haftungsausschluss