Keine 0-Day-Lücke

Microsoft dementiert Schwachstelle in IIS

Nach Angaben von Microsoft ist die berichtete Möglichkeit zum Ausführen eingeschleuster Dateien nicht auf eine Sicherheitslücke in IIS sondern auf Konfigurationsfehler zurück zu führen.

In den letzten Tagen hat eine Meldung über eine bis dahin unbekannte Sicherheitslücke in Microsofts Internet Information Services (IIS) die Runde gemacht. Microsoft berichtet nun nach Abschluss der Untersuchungen, dass es keine Lücke gefunden habe. Es handele sich vielmehr um Konfigurationfehler der Server-Administratoren.

In IIS 6.0 gebe es, so Christopher Budd im Blog des Microsoft Sicherheitsteams, lediglich eine "Inkonsistenz beim Umgang mit Semikolons in URLs", auf der die behauptete Schwachstelle basiere. Der Fehler liege jedoch darin, dass Server-Admins Benutzern in einem Verzeichnis sowohl Schreibrechte als auch das Recht zum Ausführen von Script-Code einräumen würden. Dies sei nicht die Standardkonfiguration für IIS und stehe im Widerspruch zu Microsofts Sicherheitsempfehlungen.

Nach Angaben von Microsofts Nazim Lala in seinem IIS Security Blog nutzt IIS 6.0 den Teil einer URL vor einem Semikolon zur Entscheidung, welches Script-Modul für die Ausführung von Code zum Einsatz kommt. Eine URL wie "http://server.net/datei.asp;xyz.jpg" spricht somit das ASP-Modul (Active Server Pages) an und in dieser Datei enthaltener ASP-Code wird ausgeführt.