FTP-Dienst von Microsoft IIS 5 und 6 offen für Angriffe [2. Update]
Ein soeben veröffentlichter Exploit zielt offenbar auf eine bislang nicht öffentlich bekannte Lücke im FTP-Server von Microsofts Internet Services, für die es noch keinen Patch gibt.
- Christiane Rütten
Auf der Sicherheitsmailingliste Full Disclosure ist ein Exploit aufgetaucht, mit dem sich Angreifer über den FTP-Dienst angeblich Systemrechte auf Microsoft-Servern verschaffen können. Betroffen ist nach Aussagen des Autors "Kingcope" der FTP-Dienst von Microsofts Server-Suite Internet Information Services 5 und angeblich auch von Version 6 mit "Stack Cookie Protection". Einen Patch für die Schwachstelle gibt es bislang noch nicht.
Der Quellcode des Exploits wurde als PDF-Datei veröffentlicht. Erste unabhängige Sicherheitsexperten haben jedoch inzwischen seine Funktionsfähigkeit bestätigt. Er enthält speziell auf Windows 2000 zugeschnittenen Shellcode und nutzt einen anonymen FTP-Login, um sich mit dem angegriffenen Server zu verbinden. Dort legt er über das Kommando MKD zwei Verzeichnisse an. Den eigentlichen Auslöser stellt jedoch anscheinend der Befehl NLST (name list) zum Anzeigen des Inhalts eines Verzeichnisses dar. Da über die genaue Funktionsweise bislang nur wenig bekannt ist, dürfte auf betroffenen Systemen lediglich die Beschränkung auf FTP-Logins von vertrauenswürdigen Nutzern einen zuverlässigen Schutz bieten.
Update:
Der Exploit scheint tatsächlich zu funktionieren. Die Macher der Security-Distribution Backtrack haben damit herumexperimentiert und eine erweiterte Version gebastelt, die eine Hintertür auf einem voll gepatchten Windows-2000-System mit IIS 5 öffnet. Sie demonstrieren das sogar in einem Video. Ein funktionierender Exploit für IIS 6 wurde allerdings noch nicht gesichtet.
Der belgische Sicherheitsspezialist Xavier Mertens hat ein Skript für den Portscanner Nmap gebastelt, mit dem man verwundbare Server im eigenen Netz aufspüren kann.
2. Update:
Thomas Baumgärtner, Pressesprecher von Microsoft bestätigte gegenüber heise Security, dass das Problem bei Microsoft bekannt sei und man daran arbeite, weitere Informationen bereit zu stellen, wie IIS-Administratoren ihre Server schützen können. Bislang lägen jedoch bei Microsoft keine Erkenntnisse vor, dass die Schwachstelle aktiv ausgenutzt worden sei, um in Systeme einzubrechen.
Das US-CERT empfiehlt unterdessen als temporären Workaround, den Schreibzugriff für anonyme Nutzer zu deaktivieren. Damit könne der Exploit das benötigte Verzeichnis nicht mehr anlegen, das den Fehler auslöst. (cr)
