Präparierte URLs bringen Microsofts Webserver unter XP aus dem Tritt

Microsofts Internet Information Services (IIS) lassen sich durch eine fehlerhafte URL zum Absturz bringen. Ein Patch ist nicht verfügbar, obwohl Microsoft seit Januar dieses Jahres informiert sein soll.

In Pocket speichern vorlesen Druckansicht 536 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

Microsofts Internet Information Services (IIS) lassen sich durch eine fehlerhafte URL zum Absturz bringen. So genügt der mehrmalige Aufruf etwa von http://ip-adresse/_vti_bin/.dll/*/~0, um den Webserver ins virtuelle Nirwana zu schicken. Betroffen ist allerdings nur Version 5.1, die in Windows XP Professional enthalten ist, standardmäßig aber nicht mitinstalliert wird. Zudem muss der Skriptzugriff auf das aufgerufene Verzeichnis erlaubt sein.

Bei einem Test in der heise-Security-Redaktion mit Windows XP SP2 ließ sich das Problem nicht zuverlässig nachvollziehen, ein DoS-Angriff war nicht bei jedem Versuch erfolgreich. Dadurch, dass der IIS nach dem Crash automatisch neu startet, ist die Auswirkung eines Angriffs auch begrenzt. Allerdings könnte ein Angreifer den Server über ein Skript ständig torpedieren. Ein Patch zum Beseitigen der Lücke ist nicht verfügbar, obwohl Microsoft nach Angaben des Entdeckers, Inge Henriksen, seit Januar dieses Jahres informiert ist. Als Workaround schlägt Henriksen vor, alle URLs auszufiltern, die ~0, ~1, ~2, ~3, ~4, ~5, ~6, ~7, ~8 oder ~9 enthalten.

Siehe dazu auch: (dab)