Microsoft-Patch reißt Sicherheitslücke in IIS 5.0 auf

Als kontraproduktiv erweist sich ein Patch, mit dem Microsoft eigentlich eine Sicherheitslücke des Internet Information Server 5.0 beseitigen wollte. Zwar stopft der Patch das angepeilte Loch, reißt dafür jedoch ein noch gefährlicheres auf: Ein Angreifer kann auf der Zielmaschine Betriebssystemkommandos aufrufen.

Ursprünglich hatte alles relativ harmlos begonnen: Die Web Server File Request Parsing Vulnerability erlaubt unter recht eingeschränkten Rahmenbedingungen, durch einen speziellen URL-Aufruf auf IIS4.0/5.0-Systemen gelagerte Batchfiles auszuführen. Dazu muss der Angreifer jedoch den Namen der betreffenden .bat- oder .cmd-Datei kennen und obendrein das Ausführungsrecht für das File besitzen. Microsoft machte am 21. November mit dem Security-Bulletin MS00-086 auf das Problem aufmerksam und lieferte gleich den zugehörigen Patch Q227873.

Wie der bulgarische Sicherheitsexperte Georgi Guninski jetzt herausgefunden hat, verursacht jedoch eben dieser Patch auf Microsofts IIS 5.0 ein wesentlich gravierenderes Problem: Über einen entsprechend angepassten URL kann ein Angreifer jetzt nicht mehr nur Batchfiles, sondern nahezu beliebige Betriebssystembefehle aufrufen. Auch der Inhalt der meisten Dateien lässt sich auf diesem Weg problemlos auslesen.

Einige Beispiele für die Funktionsweise der hausgemachten Sicherheitslücke liefert Guninski in seiner Bugbeschreibung gleich mit. Als Problemlösung empfiehlt er die vorläufige Deinstallation des Microsoft-Patches - ohne das Security-Update sei der Benutzer seiner Ansicht nach geringeren Sicherheitsrisiken ausgesetzt. Wie Guninski angibt, hat er Microsoft bereits am 25. November von dem Problem unterrichtet. Auf der Microsoft-Security-Site fehlt jedoch bislang jeder Hinweis auf die neue Vulnerability. (jlu)