THEMEN

Sicherheitsluecke im Microsoft Internet Information Server
Veröffentlicht am Dienstag, 19.Mai 2009 von Redaktion


Eine am Wochenende aufgetretene und gemeldete Lücke im Internet Informationen Server (kurz: IIS) wurde inzwischen Microsoft bestätigt. Vom Hersteller wird angeben, dass über die Version 6.0 hinaus ebenso die Versionen 5.0 und 5.1 betroffen sind. Von Microsoft heißt es, dass die Lücke in IIS 7.0 nicht vorkommt.



Für Angreifer besteht die Möglichkeit die Authentifizierungsfunktionen auszuhebeln und auf geschützte Ordner und Dateien im Kontext des standardmäßig eingerichteten anonymen Users-Kontos zuzugreifen. Das ist für Angreifer möglich, wenn sie sich einen Fehler in der WebDAV-Funktion beim Dekodieren von URLs mit Unicode-Zeichen zu Nutze machen.

Von Microsoft wird erklärt, dass User in den Default-Einstellungen keine Schreibrechte auf dem Server besitzen und es im Gegensatz zu dem ursprünglichen Bericht es scheinbar keine Möglichkeit durch die Lücke gibt auf dem Server Dateien zu abzulegen. Vom Hersteller heißt es, dass nach der Installation des IIS normaler Weise WebDAV-Funktion aktiviert ist. Die Funktion ist lediglich bei der Version 6.0 auf Windows Server 2003 nicht angeschaltet. Derzeit ist noch nicht bekannt, ob Microsoft die Fehler mit einem Update beseitigen will.

Weitere Maßnahmen sollen erst nach weiteren Untersuchungen folgen. Ob ein Patch bereitgestellt wird soll von den Kundenanforderungen abhängig gemacht werden. Als erste Maßnahme werden von dem Unternehmen zwei Workarounds vorgeschlagen: WebDAV abzuschalten oder Zugriffe des anonymen Nutzers zu blockieren. Anleitungen, wie man da vorgehen soll, kann der User bei Microsoft erhalten, die das Unternehmen in seinem Fehlerbericht bereit hält.

Desweiteren ist es durchaus möglich manipulierte URLs durch URLScan zu erkennen und heraus zu filtern. Über welchen Konfigurationen das System noch verwundbar ist, wird der interessierte User von Microsoft sind in seinem "Security Research & Defense" Blog informiert.






letzten News

  So schützt man sich wirksam vor DDoS-Attacken wenn der Server den Dienst versagt
  Schaedlinge im Netz So wird trotzdem sicher gesurft
  Gefahren aus dem Internet erkennen und vorbeugen
  Navigationsgeraete werden zunehmend von Smartphone und Tablet PC abgeloest
  Panda Cloud Fusion bietet ganzheitliche IT Security

Kommentar:
Kommentare werden erst geprüft und dann freigeschaltet.

erlaubter HTML Code:
<b> <i> <em> <br> <strong> <blockquote> <tt> <li> <ol> <ul>
Security Code Security Code
  VIREN TICKER
weitere Informationen:
F-Secure
Micro World