Neuer Internet Information Server mit Schwächen

Das Webadministrationstool für den IIS 6 unter Windows 2003 weist diverse Schwachpunkte auf.

In Pocket speichern vorlesen Druckansicht 5 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

Die Cross-Site-Scripting-Experten von Infohacking haben wieder zugeschlagen. Diesmal haben sie den Internet Information Server 6 unter die Lupe genommen und Schwachstellen im Webadministrationstool entdeckt. Diese kann auf Port 9098 angesprochen werden.

Eine Cross-Site-Scripting-Schwäche ermöglicht das Mitsenden von JavaScript in einer URL, die vom Server zurückgesendet und im Browser des Benutzers ausgeführt wird. Wird der IIS von einer Station aus verwaltet, auf der auch im Internet gesurft und E-Mail gelesen wird, kann ein Angreifer die Session-Cookies einsehen und sich unautorisierten Zugriff auf das Webadministrationstool verschaffen. Darüber hinaus scheint die Implementierung des Session-Tracking, also des Erkennens einer Verbindung ohne wiederholte Authentifizierung, im IIS6 fehlerhaft zu sein. Die Experten von Infohacking berichten davon, dass sogar nach einen Reboot des Servers vergangene Sessions als gültig anerkannt wurden. Zusätzlich kann durch den Aufruf des ASP-Skripts users/user_setpassword.asp das Administratorpasswort geändert werden, ohne vorher das alte Kennwort eingeben zu müssen.

Aus Sicherheitsgründen sollte das Administrationstool deaktiviert werden. Auch die vergangenen Versionen des IIS wiesen schon Sicherheitslöcher in der webbasierten Administration auf. Es empfiehlt sich auch, vorhandene Beispielskripte auf dem Server zu entfernen, da diese oftmals zu Angriffen verwendet werden können. (dab)