Windows 10 und Server 2016: IIS kann über HTTP/2 zum Absturz gebracht werden
Microsoft hat die potenzielle Denial-of-Service-Lücke bereits gepatcht, allerdings sind Admins zum Handeln gezwungen, um Angriffe zu verhindern.
(Bild: dpa, Michel Euler/AP)
- Fabian A. Scherschel
Microsoft hat eine Woche nach seinem regulären Patchday mehrere Updates für seinen Webserver Internet Information Service (IIS) verteilt, die Angreifer daran hindern sollen, den Dienst mit bösartigen Anfragen in die Knie zu zwingen. Allerdings hat die Firma diese Änderungen nicht als Sicherheits-Updates eingestuft, was dazu führte, dass sie zuerst ziemlich unbemerkt blieben. Das ist allerdings kontraproduktiv, da Admins selbst Änderungen an der Konfiguration ihres Systems vornehmen müssen, bevor der Schutz greift. Betroffen sind die Windows-Versionen Server 2016 und Windows 10.
Das Problem besteht darin, wie IIS mit HTTP/2-Anfragen umgeht. HTTP/2 ist der Nachfolger des in die Jahre gekommenen Web-Protokolls HTTP und soll unter anderem die Geschwindigkeit von Web-Anfragen verbessern. Teil des Protokolls ist der sogenannte SETTINGS-Frame. Mit diesen Parametern kann ein Teilnehmer der Verbindung seinen Gesprächspartnern wichtige Informationen über die Konfiguration seines Systems mitteilen, denen sich die Gegenstellen bewusst sein sollten. Nun limitiert das Protokoll allerdings nicht die Anzahl der möglichen Daten in solchen SETTINGS-Frames, was dazu führt, dass ein Client eine unbegrenzte Anzahl davon an den Server schicken kann. IIS kommt damit nicht klar und kann auf diese Weise komplett lahmgelegt werden.
IIS-Admins müssen selbst Hand anlegen
Die Updates KB4487006 (für Windows 10 Version 1607, Windows Server 2016), KB4487011 (für Windows 10 Version 1703), KB4487021 (für Windows 10 Version 1709) und KB4487029 (für Windows 10 Version 1803) sollen diese potenzielle Angriffsmöglichkeit in den Griff bekommen. Dazu gibt Microsoft den Admins betroffener Systeme die Möglichkeit, eine maximale Anzahl von SETTINGS-Parametern festzulegen, die per Verbindung übermittelt werden können. Wie viele das sind, muss der Admin selbst entscheiden, Microsoft setzt diesen Wert von sich aus nicht – Systeme sind also bis zum Eingreifen eines Admins erst mal verwundbar, auch wenn sie die Patches bekommen haben.
Microsoft empfiehlt in einem Support-Dokument, die HTTP/2-Spezifikation zu Rate zu ziehen und dann zu entscheiden, welchen Maximalwert man durchsetzen will. Zwei Registry-Schlüssel erlauben das Setzen eines Wertes von minimal 7 und maximal 2.796.202 Settings per Frame für HTTP/2-Verbindungen. Nach einem Setzen der Registry-Schlüssel oder einer Änderung des Wertes ist ein Neustart erforderlich. (fab)
