Keine 0-Day-Lücke

Microsoft dementiert Schwachstelle in IIS

Exploit-Modul verfügbar

Eine Filterung von Datei-Uploads, die auf der letzten Dateiendung (hier: .jpg) basiert, schützt daher nicht ausreichend vor dem Hochladen von ASP-Dateien. Wer, etwa als Admin eines Hosting-Providers, Benutzern das Recht einräumt Dateien hochzuladen und in demselben Verzeichnis Scripte auszuführen, sollte sich über die möglichen Konsequenzen im Klaren sein.

Diese anfällige Konfiguration ist jedoch möglicherweise weit verbreitet. Das Metasploit-Projekt hat mittlerweile seinem gleichnamigen Exploit-Framework ein Modul hinzu gefügt, das derart konfigurierte IIS-Installationen kompromittieren kann. Ein Angreifer muss jedoch Schreibrechte besitzen oder erlangen, um Dateien auf den Server laden zu können. Wer nicht-autorisierten Benutzern diese Berechtigungen einräumt und zugleich das Ausführen von Scripten erlaubt, ruft nach Problemen.

Diese Problematik betrifft laut Nazim Lala nur IIS 6.0 (Windows Server 2003). Christopher Budd kündigt an, Microsoft prüfe eine Änderung in IIS 6.0, um dessen Verhalten an das anderer IIS-Versionen anzugleichen. Diese gehen mit Semikolons in URLs anders um. (PC Welt/mje)