[Warning] Schwachstelle im FTP-Modul von Microsoft IIS 5

Otmar Lendl lendl at cert.at
Tue Sep 1 13:00:46 CEST 2009 

                Schwachstelle im FTP-Modul von Microsoft IIS 5

   1. September 2009

   Da diese Schwachstelle über das Netz ausgenützt werden kann, bittet
   CERT.at um Beachtung der folgenden Meldung:

Beschreibung

   Es wurde Code zur Ausnutzung eines Fehlers im FTP-Modul des Internet
   Information Servers (IIS) [1] veröffentlicht. Dieser Exploit basiert auf
   einem Buffer Overflow beim Ausführen des NLST Kommandos in einem
   speziell angelegtem Verzeichnis.

Auswirkungen

   Über diesen Fehler kann beliebiger Code auf dem betroffenen Systemen
   ausgeführt werden. Beispielcode, der neue User anlegt oder einen
   Fernzugriff erlaubt, wurde bereits im Internet publiziert. Es sind alle
   Daten auf diesen Systemen, sowie potentiell alle durch diese
   erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme
   gefährdet.

Betroffene Systeme

   Auf jeden Fall betroffen ist der IIS in der Version 5, so wie er auf
   Windows 2000 zu finden ist.

   Laut einem Kommentar im initialen Announcement ist auch IIS 6 mit "stack
   cookie protection" verwundbar, dieses konnte noch nicht bestätigt
   werden.

   Für einen erfolgreichen Angriff ist es nötig, dass sich der Angreifer
   per FTP einloggen kann und danach die Rechte hat um Verzeichnisse
   anzulegen. Ersteres ist oft durch den Standardaccount für anonymen
   FTP-Zugang ("anonymous") möglich.

Abhilfe

   Microsoft stellt noch kein Update zur Verfügung.

   CERT.at empfiehlt in der Zwischenzeit:

     * Das FTP-Modul des IIS zu deaktivieren, wenn dieser Dienst nicht
       bewusst eingeschalten und auch benötigt wird.

     * Den anonymen FTP-Zugang abzudrehen, so dieser nicht gewünscht wird.

     * Die Schreibrechte für alle Benutzer, insbesondere "anonymous", so
       weit wie möglich zu limitieren.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
_________________________________________________________________________

Informationsquellen:

   Meldung des Internet Storm Centers
     http://isc.sans.org/diary.html?storyid=7039

   Demoexploit
     http://milw0rm.com/exploits/9541

   Meldung bei Heise
     http://www.heise.de/security/

   US-CERT Alert
     http://www.kb.cert.org/vuls/id/276653

-- 
// Otmar Lendl <lendl at cert.at>, +43 1 5056416 - 711
//       CERT.at    --      http://www.cert.at/

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 251 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20090901/77e91385/attachment.sig>

More information about the Warning mailing list