[Warning] Schwachstelle im FTP-Modul von Microsoft IIS 5
Otmar Lendl
lendl at cert.at
Tue Sep 1 13:00:46 CEST 2009
Schwachstelle im FTP-Modul von Microsoft IIS 5
1. September 2009
Da diese Schwachstelle über das Netz ausgenützt werden kann, bittet
CERT.at um Beachtung der folgenden Meldung:
Beschreibung
Es wurde Code zur Ausnutzung eines Fehlers im FTP-Modul des Internet
Information Servers (IIS) [1] veröffentlicht. Dieser Exploit basiert auf
einem Buffer Overflow beim Ausführen des NLST Kommandos in einem
speziell angelegtem Verzeichnis.
Auswirkungen
Über diesen Fehler kann beliebiger Code auf dem betroffenen Systemen
ausgeführt werden. Beispielcode, der neue User anlegt oder einen
Fernzugriff erlaubt, wurde bereits im Internet publiziert. Es sind alle
Daten auf diesen Systemen, sowie potentiell alle durch diese
erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme
gefährdet.
Betroffene Systeme
Auf jeden Fall betroffen ist der IIS in der Version 5, so wie er auf
Windows 2000 zu finden ist.
Laut einem Kommentar im initialen Announcement ist auch IIS 6 mit "stack
cookie protection" verwundbar, dieses konnte noch nicht bestätigt
werden.
Für einen erfolgreichen Angriff ist es nötig, dass sich der Angreifer
per FTP einloggen kann und danach die Rechte hat um Verzeichnisse
anzulegen. Ersteres ist oft durch den Standardaccount für anonymen
FTP-Zugang ("anonymous") möglich.
Abhilfe
Microsoft stellt noch kein Update zur Verfügung.
CERT.at empfiehlt in der Zwischenzeit:
* Das FTP-Modul des IIS zu deaktivieren, wenn dieser Dienst nicht
bewusst eingeschalten und auch benötigt wird.
* Den anonymen FTP-Zugang abzudrehen, so dieser nicht gewünscht wird.
* Die Schreibrechte für alle Benutzer, insbesondere "anonymous", so
weit wie möglich zu limitieren.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
_________________________________________________________________________
Informationsquellen:
Meldung des Internet Storm Centers
http://isc.sans.org/diary.html?storyid=7039
Demoexploit
http://milw0rm.com/exploits/9541
Meldung bei Heise
http://www.heise.de/security/
US-CERT Alert
http://www.kb.cert.org/vuls/id/276653
--
// Otmar Lendl <lendl at cert.at>, +43 1 5056416 - 711
// CERT.at -- http://www.cert.at/
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 251 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20090901/77e91385/attachment.sig>
More information about the Warning
mailing list