Für Angreifer besteht die Möglichkeit die Authentifizierungsfunktionen auszuhebeln und auf geschützte Ordner und Dateien im Kontext des standardmäßig eingerichteten anonymen Users-Kontos zuzugreifen. Das ist für Angreifer möglich, wenn sie sich einen Fehler in der WebDAV-Funktion beim Dekodieren von URLs mit Unicode-Zeichen zu Nutze machen.

Von Microsoft wird erklärt, dass User in den Default-Einstellungen keine Schreibrechte auf dem Server besitzen und es im Gegensatz zu dem ursprünglichen Bericht es scheinbar keine Möglichkeit durch die Lücke gibt auf dem Server Dateien zu abzulegen. Vom Hersteller heißt es, dass nach der Installation des IIS normaler Weise WebDAV-Funktion aktiviert ist. Die Funktion ist lediglich bei der Version 6.0 auf Windows Server 2003 nicht angeschaltet. Derzeit ist noch nicht bekannt, ob Microsoft die Fehler mit einem Update beseitigen will.

Weitere Maßnahmen sollen erst nach weiteren Untersuchungen folgen. Ob ein Patch bereitgestellt wird soll von den Kundenanforderungen abhängig gemacht werden. Als erste Maßnahme werden von dem Unternehmen zwei Workarounds vorgeschlagen: WebDAV abzuschalten oder Zugriffe des anonymen Nutzers zu blockieren. Anleitungen, wie man da vorgehen soll, kann der User bei Microsoft erhalten, die das Unternehmen in seinem Fehlerbericht bereit hält.

Desweiteren ist es durchaus möglich manipulierte URLs durch URLScan zu erkennen und heraus zu filtern. Über welchen Konfigurationen das System noch verwundbar ist, wird der interessierte User von Microsoft sind in seinem "Security Research & Defense" Blog informiert.

letzten News

erlaubter HTML Code:
<b> <i> <em> <br> <strong> <blockquote> <tt> <li> <ol> <ul>
Security Code