Jetzt patchen: WebDAV-Lücke auch ohne IIS gegeben

Die kürzlich entdeckte WebDAV-Vulnerability von Windows-2000-Servern lässt sich auch zu Angriffen nutzen, wenn kein IIS auf dem fraglichen Rechner installiert ist. Ein britisches Sicherheitsunternehmen hat zahlreiche weitere Angriffspforten entdeckt.

Wie Mark Litchfield von renommierten britischen Security-Unternehmen NGSS in einem ausführlichen Papier darlegt, wird das eigentliche Problem durch eine Funktion im Kern von Windows 2000 verursacht. Der Angriff via IIS über WebDAV ist nur einer von zahlreichen möglichen Angriffsvektoren.

Die Sicherheitslücke liegt in der Funktion RtlDosPathNameToNtPathName_U(), die einen vorzeichenlosen Short Int (16 Bit) zur Speicherung der Stringlänge des übergebenen Pfades benutzt. Dies führt bei Zeichenketten von mehr als 65.535 Byte Länge zu einer falschen Längenbehandlung und damit zu einem Overflow.

Nicht nur WebDAV, sondern mehr als zwei Dutzend Funktionen und 26 DLLs, die meisten davon in Zusammenhang mit dem File-System, nutzen die fehlerhafte Routine. Daher setzt ein Exploit nicht, wie zunächst vermutet, Microsofts IIS voraus. Auch über Webserver anderer Hersteller, Java-Applikationsserver, FTP- und IMAP-Server sowie Anti-Virus-Lösungen können Angreifer nach Ansicht von NGSS die Vulnerability ausnutzen.

Aus diesem Grund empfiehlt das Unternehmen dringend, umgehend alle Windows-2000-Clients und Server mit dem von Microsoft bereitgestellten Patch zu sichern. (jlu)

tecCHANNEL Buch-Shop

Literatur zum Thema Windows

Bestell-Link

Titel von Pearson Education

Bestellung