Microsoft veröffentlicht Anleitung zum Hacken des IIS 5.0
Microsoft hat seine Forderung nach "Responsible Disclosure" aufgegeben und gibt die Informationen zum Hacken des Servers heraus, ohne dass es einen Patch oder einen Workaround gibt.
- Daniel Bachfeld
Ein Knowledge-Base-Artikel von Microsoft zu einer Schwachstelle im Internet Information Server (IIS) 5.0 sorgte unter Sicherheitsspezialisten für Unmut, da Microsoft darin eine Anleitung veröffentlichte, wie man das Problem reproduzieren kann – also quasi eine Anleitung, wie man die Lücke ausnutzt. Normalerweise sind weitergehende Informationen zu Schwachstellen durchaus wünschenswert, um das Risiko besser einschätzen zu können und etwa Sicherungsmaßnahmen testen zu können.
Im vorliegenden Fall hat Microsoft seine häufige Forderung nach "Responsible Disclosure" aufgegeben und die Informationen herausgegeben, ohne dass es einen Patch oder einen Workaround gibt. Statt dessen empfehlen die Redmonder ein Update auf IIS 6.0, um das Problem zu beseitigen. Allerdings ist damit ein Upgrade auf Windows Server 2003 verbunden, was auch einen gewissen finanziellen Aufwand fordert, den viele Anwender sicher nicht bereit sind zu erbringen. Microsoft hat die aus sechs Punkten bestehende Anleitung mittlerweile aus dem Artikel entfernt, im Google-Cache ist die Original-Fassung allerdings noch zu finden.
Die von Microsoft beschriebene Lücke im "Hit-highlighting"-Feature erlaubt es, bestimmte Zugriffsrestriktionen auf Inhalte zu umgehen und so an geschützte Informationen zu gelangen oder Dateien herunterzuladen. Das Löschen der Verknüpfung mit .htw-Dateien soll verhindern, dass Angreifer die Lücke ausnutzen können. Alternativ lässt sich auch über den Filter URLScan der Zugriff auf .htw-Dateien reglementieren.
Siehe dazu auch:
- Hit-highlighting does not rely on IIS authentication, Knowledge-Base-Artikel von Microsoft
- IIS 5.0 authentication bypass exploit -- CVE-2007-2815, Blogeintrag des ISC
(dab)
