[Warning] Kritische Sicherheitslücke in Microsofts IIS
Christian Wojner
wojner at cert.at
Mon Dec 28 13:21:40 CET 2009
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Kritische Sicherheitslücke in Microsofts IIS
28. Dezember 2009
Kritische Sicherheitslücke in Microsofts IIS.
Wegen der Dringlichkeit und der zu erwartenden Tragweite des Problems
bittet CERT.at um Beachtung der folgenden Meldung:
Beschreibung
Laut Angaben eines unabhängigen [1]IT Sicherheitsexperten sind
Microsofts [2]Internet Information Services (IIS) aktuell von einer
gravierenden Verwundbarkeit betroffen.
Ein Angreifer könnte sich den Umstand unterschiedlicher Ansätze der
Namensverifikation von hochzuladenden bzw. auszuführenden Dateien
zwischen (typischen) Webapplikationen und den IIS, zum Einschleusen
von Schadcode auf dem betroffenen Server, zu Nutze machen.
Beispielsweise wird ein Dateiname wie "beispiel.asp;.jpg"
üblicherweise von Webapplikationen aufgrund des abschließenden
Suffixes ".jpg" zum Upload akzeptiert. Seitens der IIS würde diese
Datei allerdings als ASP angesehen und bei Abruf ausgeführt werden.
Auswirkungen
Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen
ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell
alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten,
VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.
Es ist zu erwarten, dass diese einfachst auszunützende Schwachstelle
schon bald in großem Stil ausgenützt wird.
Betroffene Systeme
Laut aktuellem Wissensstand sind alle älteren Versionen des IIS bis
inklusive Version 6 betroffen. Eine Überprüfung der Version 7 ist
noch ausständig. Die Version 7.5 ist laut [3]Information des
Entdeckers (Stand vom 25. Dezember) nicht betroffen.
Abhilfe
Microsoft stellt noch kein Update zur Verfügung.
Über die Rechte des Upload-Verzeichnisses kann die Ausführung von
Code in selbigem unterbunden werden. Dies ist über die Eigenschaften
des betreffenden Vezeichnisses im IIS Manager zu erreichen.
Grundsätzlich ist es empfehlenswert, Upload-Verzeichnissen keinerlei
Ausführungsrechte zu gewähren.
Da die Behebung dieses riskanten Zusammenspiels auf beiden Seiten,
also auf IIS, wie auch Webapplikationen zu erwarten ist, sollte
unbedingt auch mit Updates etwaiger CMS-Lösungen gerechnet werden.
Hinweis
Generell empfiehlt CERT.at, womöglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Bericht des Entdeckers
[4]http://soroush.secproject.com/downloadable/iis-semicolon-report.pdf
Stellungnahme vom Microsoft Security Response Center (Englisch)
[5]http://blogs.technet.com/msrc/archive/2009/12/27/new-reports-of-a-vu
lnerability-in-iis.aspx
Meldung auf Heise
[6]http://www.heise.de/security/meldung/Sicherheitsluecke-in-Microsoft-
IIS-892828.html
Meldung des Internet Storm Center (ISC) von SANS (Englisch)
[7]http://isc.sans.org/diary.html?storyid=7816
References
1. http://soroush.secproject.com/downloadable/iis-semicolon-report.pdf
2. http://de.wikipedia.org/wiki/Microsoft_Internet_Information_Services
3. http://soroush.secproject.com/downloadable/iis-semicolon-report.pdf
4. http://soroush.secproject.com/downloadable/iis-semicolon-report.pdf
5.
http://blogs.technet.com/msrc/archive/2009/12/27/new-reports-of-a-vulnerability-in-iis.aspx
6.
http://www.heise.de/security/meldung/Sicherheitsluecke-in-Microsoft-IIS-892828.html
7. http://isc.sans.org/diary.html?storyid=7816
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iEYEARECAAYFAks4otQACgkQZjWyIncLRhc9owCglNSLXQbUytxU2VI7WWPpBbpR
4/EAoKtiaV1mKxcirltVPDdvqPX3bep0
=X6Qh
-----END PGP SIGNATURE-----
More information about the Warning
mailing list