Microsoft stopft kritische Lücke in IIS 5.0

Der mit Windows 2000 ausgelieferte IIS 5.0 weist eine schwere Sicherheitslücke in der WebDAV-Komponente auf. Über diese kann ein externer Angreifer beliebigen Code im Systemkontext ausführen oder den Server sogar komplett übernehmen.

WebDAV, das World Wide Web Distributed Authoring and Versioning Protocol, soll autorisierten Benutzern das Bearbeiten und Manipulieren von Dateien auf einem Webserver erlauben. Die für die dabei notwendigen Pfadumwandlungen zuständige Komponente ntdll.dll weist jedoch eine Buffer Overflow Vulnerability auf. Durch eine speziell gestaltete Anfrage an einen IIS-5.0-Server kann ein Angreifer auf dem Umweg über WebDAV beliebigen Code im Systemkontext ausführen und so unter Umständen die Maschine sogar komplett übernehmen.

Offenbar existiert bereits ein Exploit für die Sicherheitslücke, mit dessen Hilfe schon Systeme angegriffen wurden. Microsoft spricht in diesem Zusammenhang von "einzelnen Berichten von Kunden", deren Maschinen unter Beschuss geraten waren. Nach bislang unbestätigten Angaben sollen dazu auch Server des US-Verteidigungsministeriums zählen.

Der IIS 4.0 von Windows NT unterstützt WebDAV nicht, im IIS 5.1 unter Windows XP tritt die Sicherheitslücke nicht auf. Für den IIS 5.0 auf Windows 2000 stellt Microsoft einen Patch zur Verfügung, der die Vulnerability beseitigt. Er setzt Windows 2000 Service Pack 2 oder 3 voraus.

Der Knowledge-Base-Artikel 816930 beschreibt zudem diverse Work-arounds für Systeme, auf denen sich der Patch nicht sofort ausrollen lässt. Dazu zählen neben dem schlichten Abschalten des IIS das Deaktivieren von WebDAV, der Einsatz des IIS Lockdown Tools sowie das Beschränken der URL-Puffer-Größe mittels des URL Buffer Size Registry Tools. (jlu)