Microsoft stopft kritische Löcher in CMS 2001

Microsoft hat Patches gegen drei Sicherheitslücken im Content Management Server (CMS) 2001 veröffentlicht. Die als kritisch eingestuften Probleme erlauben einem Angreifer im schlimmsten Fall, Code mit allen Rechten auszuführen.

Das erste Sicherheitsproblem hat seinen Ursprung in einem ungeprüften Puffer in der Benutzer-Authentifizierung. Betroffen ist die Authentifizierungs-Methode, die der CMS für bestimmte Webseiten (sign-in-pages) anbietet. Solche Webseiten können etwa nur einem ausgewählten Kunden- oder Mitarbeiterkreis zugänglich sein. Lässt ein Angreifer bei der Anmeldung den Puffer überlaufen, kann er zum einen den Service zum Absturz bringen, zum anderen die Funktionalität des Services ändern.

Durch eine Kombination von zwei Problemen in der Authoring-Funktion entsteht die nächste Angriffsmöglichkeit. Der Server bietet berechtigten Benutzern die Möglichkeit, Webseiten hochzuladen (Web Authoring). Im Authentifizierungs-Prozess steckt laut Microsoft ein Programmierfehler. Statt die Anmeldung zu prüfen und je nach Status Benutzerrechte einzuräumen, nimmt der CMS grundsätzlich eine falsche Identität für die Rechtevergabe an. Peinlicherweise ist das eine Identität, die den Test immer besteht. Damit ist der Weg für einen Angreifer bis zum Upload bestimmter Dateien aus bestimmten Verzeichnissen frei.

Hier kommt nun die zweite grobe Lücke ins Spiel. Vor dem Upload legt der CMS die gewünschte Datei in einem temporären Verzeichnis ab. Dieses liegt in einem Bereich mit eingeschränkten Befugnissen, zum Beispiel dürfen von dort aus keine Dateien ausgeführt werden. Durch einen Bug ist es einem Angreifer aber möglich, dieses Verzeichnis in beliebige Bereiche zu legen und so doch Dateien auszuführen.

Mit der dritten Sicherheitslücke verbindet Microsoft das größte Risiko. Sie lässt sich am einfachsten ausnutzen. Ein Angreifer braucht dafür nur über eine CMS-Webseite eine modifizierte Suchabfrage (SQL) zu stellen. So kann er sich einerseits Zugang zur dahinter liegenden SQL-Datenbank verschaffen, bis hin zum Löschen von Daten. Andererseits gibt es bestimmte SQL-Kommandos für die Betriebssystemebene. Ein Angriff auf System-Level wäre damit denkbar, wenn auch auf ausgewählte Kommandos beschränkt. Patches und das Bulletin zu den Lücken finden Sie hier bei Microsoft. (uba)