Microsoft warnt vor Lücke in den Internet Information Services

In einer Sicherheitsnotiz warnt Microsoft vor einem kritischen Fehler im FTP-Server-Dienst der Internet Information Services (IIS). Vor zwei Tagen hatte ein Hacker mit den Pseudonym Kingcope einen Exploit veröffentlicht, der diese Lücke demonstrierte. Microsoft will so bald wie möglich ein Update bereit stellen, das den Fehler beseitigt; auf einen Termin legen sich die Redmonder dabei jedoch wie üblich nicht fest.

Von dem Fehler betroffen sind laut Microsoft die IIS-Versionen 5.0, 5.1 und 6.0 für Windows 2000, XP und Server 2003; die für Vista- und Server 2008 vorgesehenen IIS 7 sind hingegen nicht anfällig. Außerdem muss der Administrator den Schreibzugriff für Gastzugänge aktiviert haben. Da die Version 6 mit der Compiler-Option /GS übersetzt wurde, lässt sich dort der Fehler schwerer ausnutzen. Diese Option aktiviert die sogenannten Stack Cookies, die zwischen die Parameter auf dem Stack platziert und regelmäßig kontrolliert werden. Überschreibt ein Angreifer etwa beim Ausnutzen eines Pufferüberlaufs ein solches Cookie mit einem anderen Wert, wird das Programm beendet. Das produziert dann zwar einen Programmabsturz, verhindert aber einen Einbruch.

Interessant ist ein Workaround, den die Redmonder beschreiben. Demnach genügt es, im Root-Verzeichnis des FTP-Servers die Zugriffsrechte des Dateisystems NTFS so zu reduzieren, dass FTP-Nutzer keine Verzeichnisse mehr anlegen können. Der veröffentlichte Exploit erstellt zunächst ein Verzeichnis mit sehr speziellem Namen und löst den Fehler dann durch den Befehl NLST (name listing) aus. Alternativ kann man natürlich auch wie bereits beschrieben den Schreibzugriff für nicht-vertrauenswürdige FTP-Nutzer sperren.

• Vulnerability in Internet Information Services FTP Service Could Allow for Remote Code Execution Sicherheitsnotiz von Microsoft
• FTP-Dienst von Microsoft IIS 5 und 6 offen für Angriffe Meldung auf heise Security

(ju)