Microsoft bestätigt Lücke in Internet Information Server

Durch einen Fehler in der WebDAV-Funktion beim Dekodieren von URLs mit Unicode-Zeichen ist es möglich, auf geschützte Ordner und Dateien zuzugreifen. Betroffen sind IIS 5.0, 5.1 und 6.0.

In Pocket speichern vorlesen Druckansicht 38 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Microsoft hat die am vergangenen Wochenende gemeldete Lücke im Internet Informationen Server (IIS) bestätigt. Laut Hersteller sind aber über die Version 6.0 hinaus auch die Versionen 5.0 und 5.1 betroffen. In IIS 7.0 ist der Fehler laut Microsoft nicht vorhanden.

Durch einen Fehler in der WebDAV-Funktion beim Dekodieren von URLs mit Unicode-Zeichen ist es möglich, die Authentifizierungsfunktionen auszuhebeln und auf geschützte Ordner und Dateien im Kontext des standardmäßig eingerichteten anonymen Users-Kontos zuzugreifen. Laut Microsoft hat dieser Nutzer in den Default-Einstellungen keine Schreibrechte auf dem Server, sodass sich entgegen dem ursprünglichen Bericht wohl doch keine Dateien auf dem Server durch die Lücke ablegen lassen.

Üblicherweise ist WebDAV laut Hersteller nach der Installation des IIS aktiviert, nur bei der Installation der Version 6.0 auf Windows Server 2003 ist die Funktion abgeschaltet. Microsoft hat in seinem "Security Research & Defense"-Blog weitere Informationen veröffentlicht, in welchen Konfigurationen das System verwundbar ist.

Microsoft macht im Fehlerbericht keine klaren Angaben, ob man das Problem mit einen Update beseitigen will. Erst nach den abschließenden Untersuchungen will man weitere Schritte einleiten. Dazu könnte ein Patch gehören, was aber "von den Kundenanforderungen abhänge". Bis dahin schlägt Microsoft zwei Workarounds vor: WebDAV abschalten oder Zugriffe des anonymen Nutzers blockieren. Anleitungen dafür hält Microsoft in seinem Fehlerbericht bereit. Zudem lassen sich mit URLScan manipulierte URLs ausfiltern.

Siehe dazu auch:

(dab)