Microsoft bestätigt IIS-Lücke
Die Lücke soll sich allerdings in Standardinstallationen nicht aunutzen lassen. Wann es einen Patch gibt, ist unklar. Anleitungen zur Absicherungen bieten jedoch erste Hilfe.
- Daniel Bachfeld
Microsoft hat die Sicherheitslücke in seinem Webserver-Produkt IIS bestätigt, ohne allerdings genau anzugeben, welche Versionen betroffen sind. Dem Entdecker der sogenannten Semikolon-Lücke zufolge sind die Versionen bis einschließlich 6 verwundbar. Die Lücke ermöglicht etwa das Tarnen einer ausführbaren ASP-Datei als harmlose JPEG-Datei, sodass sich Schadcode auf einen Server hochladen lässt.
Laut Security Response Center (MSRC) untersuche man die Lücke und habe bislang keine Hinweise, dass Angreifer diese zum Kompromittieren von Servern bereits ausnutzen würden. Ein Hindernis dabei sind laut Microsoft die Umstände, die dafür erfüllt sein müssen: der Angreifer muss sich am Server authentifiziert haben, Schreib/Upload-Rechte auf ein Verzeichnis haben und für das Verzeichnis müssen die Rechte zum Ausführen von Code gegeben sein.
Obwohl diese Punkte auf keine Standardinstallation zutreffen, gehen die Einschätzungen über das Risiko erheblich auseinander. Der Sicherheitsdienstleister Secunia schätzt die Bedrohung als weniger kritisch ein. Das Internet Storm Center stuft das Problem als kritisch ein und empfiehlt betroffenen Anwendern bis zur Verfügbarkeit eines Patches die Installation abzusichern. Ein 8-Punkte-Plan des ISC soll dabei Hilfestellung geben. Auch Microsoft führt in seiner ersten Reaktion auf die Lücke einige Links zu Anleitungen mit Tipps zur Absicherung des Servers auf.
Siehe dazu auch:
(dab)