1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

MS Web-Server-Dienst führt eingeschleuste Dateien aus

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von camouflage, 29. Dezember 2009.

  1. camouflage
    Offline

    camouflage VIP

    Registriert:
    21. März 2008
    Beiträge:
    5.440
    Zustimmungen:
    3.516
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Ort:
    Tief im Westen
    [FONT=&quot]In Microsofts Internet Information Service (IIS) ist eine bis dahin nicht bekannte Sicherheitslücke entdeckt worden. Betroffen ist IIS 6.0, jedoch nicht in der Standardkonfiguration.[/FONT]
    [FONT=&quot]Web-Server, die unter Windows laufen, nutzen oft die Microsoft Internet Information Services (IIS). Darin ist kürzlich eine Sicherheitslücke entdeckt und bekannt gemacht worden, die das Ausführen von hochgeladenen Dateien ermöglicht. Die Schwachstelle betrifft IIS-Versionen bis einschließlich 6.0 in bestimmten, vom Betreiber angepassten Konfigurationen.[/FONT]

    [FONT=&quot]Websites, die Benutzern das Hochladen von Dateien, etwa Bildern, erlauben und Dateitypen lediglich an Hand der Dateierweiterung filtern, können für diese Schwachstelle anfällig sein. Um die Lücke auszunutzen, muss ein Angreifer lediglich mehrere, durch ein Semikolon getrennte Dateiendungen verwenden. So kann er etwa eine Datei namens "dateiname.asp;.jpg" hochladen, die ASP-Code (Active Server Pages) enthält. Sie wird zunächst als vermeintliches JPEG-Bild durch gelassen und kann dann auf dem Server als ASP-Datei ausgeführt werden.[/FONT]
    [FONT=&quot]Diese Sicherheitslücke wird von ihrem Entdecker, Soroush Dalili, als "hoch kritisch" bezeichnet. Der Sicherheitsdienstleister Secunia stuft sie hingegen als weniger kritisch ein. Laut Secunia ist zum Beispiel Windows Server 2003 R2 SP2 mit allen Sicherheits-Updates anfällig, wenn darauf IIS 6.0 läuft. Nach Einschätzung von Patrik Nolan vom Internet Storm Center (ISC) könnte es recht bald eine breite Ausnutzung dieser Schwachstelle geben.[/FONT]
    [FONT=&quot]Microsoft hat im

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    bestätigt, dass es eine solche Lücke gibt, hält sich jedoch einstweilen mit Details über betroffene Versionen und Konfigurationen zurück. Jerry Bryant schreibt, die Lücke lasse sich nur ausnutzen, wenn die Konfiguration des IIS nicht den Vorgaben und Empfehlungen von Microsoft entspreche. Microsoft untersuche die Lücke noch und werde dann geeignete Maßnahmen zum Schutz seiner Kunden ergreifen, etwa ein Sicherheits-Update bereit stellen.[/FONT]
     
    #1
    Pilot gefällt das.
  2. phantom

    Nervigen User Advertisement

  3. camouflage
    Offline

    camouflage VIP

    Registriert:
    21. März 2008
    Beiträge:
    5.440
    Zustimmungen:
    3.516
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Ort:
    Tief im Westen
    AW: MS Web-Server-Dienst führt eingeschleuste Dateien aus

    [FONT=&quot]Microsoft dementiert Schwachstelle in IIS[/FONT]
    [FONT=&quot]Nach Angaben von Microsoft ist die berichtete Möglichkeit zum Ausführen eingeschleuster Dateien nicht auf eine Sicherheitslücke in IIS sondern auf Konfigurationsfehler zurück zu führen.[/FONT]
    [FONT=&quot]In den letzten Tagen hat eine Meldung über eine bis dahin unbekannte Sicherheitslücke in Microsofts Internet Information Services (IIS) die Runde gemacht. Microsoft berichtet nun nach Abschluss der Untersuchungen, dass es keine Lücke gefunden habe. Es handele sich vielmehr um Konfigurationfehler der Server-Administratoren.[/FONT]

    [FONT=&quot]In IIS 6.0 gebe es, so Christopher Budd im Blog des Microsoft Sicherheitsteams lediglich eine "Inkonsistenz beim Umgang mit Semikolons in URLs", auf der die behauptete Schwachstelle basiere. Der Fehler liege jedoch darin, dass Server-Admins Benutzern in einem Verzeichnis sowohl Schreibrechte als auch das Recht zum Ausführen von Script-Code einräumen würden. Dies sei nicht die Standardkonfiguration für IIS und stehe im Widerspruch zu Microsofts Sicherheitsempfehlungen.[/FONT]
    [FONT=&quot]Nach Angaben von Microsofts Nazim Lala in seinem IIS Security Blog nutzt IIS 6.0 den Teil einer URL vor einem Semikolon zur Entscheidung, welches Script-Modul für die Ausführung von Code zum Einsatz kommt. Eine URL wie [FONT=&quot]"http://server.net/datei.asp;xyz.jpg"[/FONT][FONT=&quot] spricht somit das ASP-Modul (Active Server Pages) an und in dieser Datei enthaltener ASP-Code wird ausgeführt. [/FONT][/FONT]
    Exploit-Modul verfügbar

    Eine Filterung von Datei-Uploads, die auf der letzten Dateiendung (hier: .jpg) basiert, schützt daher nicht ausreichend vor dem Hochladen von ASP-Dateien. Wer, etwa als Admin eines Hosting-Providers, Benutzern das Recht einräumt Dateien hochzuladen und in demselben Verzeichnis Scripte auszuführen, sollte sich über die möglichen Konsequenzen im Klaren sein.

    Diese anfällige Konfiguration ist jedoch möglicherweise weit verbreitet. Das Metasploit-Projekt hat mittlerweile seinem gleichnamigen Exploit-Framework ein Modul hinzu gefügt, das derart konfigurierte IIS-Installationen kompromittieren kann. Ein Angreifer muss jedoch Schreibrechte besitzen oder erlangen, um Dateien auf den Server laden zu können. Wer nicht-autorisierten Benutzern diese Berechtigungen einräumt und zugleich das Ausführen von Scripten erlaubt, ruft nach Problemen.
    Diese Problematik betrifft laut Nazim Lala nur IIS 6.0 (Windows Server 2003). Christopher Budd kündigt an, Microsoft prüfe eine Änderung in IIS 6.0, um dessen Verhalten an das anderer IIS-Versionen anzugleichen. Diese gehen mit Semikolons in URLs anders um.
     
    #2
    Pilot gefällt das.

Diese Seite empfehlen