Thema: Microsoft IIS ...

[SiLæncer]

Betreiber der Internet Information Services (IIS) auf Windows Server 2003 sollten ihre Konfiguration nochmals überprüfen, um sicherzustellen, dass die vergangene Woche veröffentlichten Updates die bekannten Sicherheitslücken in den Active Server Pages auch wirklich schließen. Laut eines Knowledgebase-Artikels von Microsoft wird das Update MS06-034 auf Windows Server 2003 nicht immer korrekt installiert, wenn der Server bereits mit Service Pack 1 aktualisiert wurde und der IIS in Betrieb ist. Dann nämlich sperrt der Server die Datei ASP.DLL, sodass Windows die Datei nicht ersetzen kann – das Update schlägt fehl und der Server bleibt verwundbar. Eine korrigierte Version des Patches behebt das Problem. Anwender sollten die neue Fassung manuell herunterladen und installieren oder erneut Windows Update aufrufen.

Zudem berichtet Microsoft von Fällen, in denen Anwender das Update MS06-034 mehrfach über das Auto Update oder Windows Update angeboten bekommen, auch wenn es bereits installiert zu sein scheint. Ursache des Problems ist nach Angaben von Microsoft die Art, wie Windows feststellt, ob ein Update bereits eingespielt ist. So bietet der Update-Mechanismus den Patch solchen Rechnern immer wieder an, die zwar die Internet Information Services (IIS) Common Files installiert haben, nicht jedoch die ASP.DLL für die Active Server Pages. Als Workaround schlägt der Knowledgebae-Artikel vor, die Common Files einfach zu deinstallieren.

Siehe dazu auch:

    * MS06-034 installation fails on computers that have Windows Server 2003 SP1 installed, Knowledgebase-Artikel von Microsoft

Quelle und Links : http://www.heise.de/newsticker/meldung/75647

[SiLæncer]

Ein Knowledge-Base-Artikel von Microsoft zu einer Schwachstelle im Internet Information Server (IIS) 5.0 sorgte unter Sicherheitsspezialisten für Unmut, da Microsoft darin eine Anleitung veröffentlichte, wie man das Problem reproduzieren kann – also quasi eine Anleitung, wie man die Lücke ausnutzt. Normalerweise sind weitergehende Informationen zu Schwachstellen durchaus wünschenswert, um das Risiko besser einschätzen zu können und etwa Sicherungsmaßnahmen testen zu können.

Im vorliegenden Fall hat Microsoft seine häufige Forderung nach "Responsible Disclosure" aufgegeben und die Informationen herausgegeben, ohne dass es einen Patch oder einen Workaround gibt. Statt dessen empfehlen die Redmonder ein Update auf IIS 6.0, um das Problem zu beseitigen. Allerdings ist damit ein Upgrade auf Windows Server 2003 verbunden, was auch einen gewissen finanziellen Aufwand fordert, den viele Anwender sicher nicht bereit sind zu erbringen. Microsoft hat die aus sechs Punkten bestehende Anleitung mittlerweile aus dem Artikel entfernt, im Google-Cache ist die Original-Fassung allerdings noch zu finden.

Die von Microsoft beschriebene Lücke im "Hit-highlighting"-Feature erlaubt es, bestimmte Zugriffsrestriktionen auf Inhalte zu umgehen und so an geschützte Informationen zu gelangen oder Dateien herunterzuladen. Das Löschen der Verknüpfung mit .htw-Dateien soll verhindern, dass Angreifer die Lücke ausnutzen können. Alternativ lässt sich auch über den Filter URLScan der Zugriff auf .htw-Dateien reglementieren.

Quelle : www.heise.de

[SiLæncer]

 Durch eine Schwachstelle in der WebDAV-Funktion von Microsofts Internet Information Server 6.0 (IIS) können Angreifer auf Passwort-geschützte Verzeichnisse zugreifen, beliebige Dateien herunterladen und sogar hochladen. Dabei ist der Zugriff aber laut einem Bericht nicht auf WebDAV-Ordner beschränkt: sämtliche vom Webserver verwalteten Verzeichnisse sind betroffen. Ursache ist die fehlerhafte Verarbeitung von Unicode-Zeichen.
Anzeige

Nach Angaben des Entdeckers der Lücke, Nicolaos Rangos, führt beispielsweise ein Request mit dem folgende Header dazu, dass der IIS eine eigentlich geschützte Datei aus einem normalen Ordner ohne Authentifizierung zurückliefert:

GET /..%c0%af/protected/protected.zip HTTP/1.1
Translate: f
Connection: close
Host: servername

Dabei wird der Slash "/" als Unicode-Zeichen %c0%af codiert, was die Sicherheitsfunktion offenbar übersieht und den Zugriff auf /protected/protected.zip gewährt. Die Option Translate: f aktiviert dabei die WebDAV-Funktion für normale Verzeichnisse. ASP-Skripte sollen sich auf diese Weise aber nicht herunterladen lassen, es sei denn, das Ausliefern von Quellcode ist explizit aktiviert.

Ein Angriff auf WebDAV-Ordner ist laut Rangos etwas komplexer, erlaubt dafür aber auch das Hochladen:

PROPFIND /protec%c0%afted/ HTTP/1.1
Host: servername
User-Agent: neo/0.12.2
Connection: TE
TE: trailers
Depth: 1
Content-Length: 288
Content-Type: application/xml
<?xml version="1.0" encoding="utf-8"?>
<propfind xmlns="DAV:"><prop>
<getcontentlength xmlns="DAV:"/>
<getlastmodified xmlns="DAV:"/>
<executable xmlns="http://apache.org/dav/props/"/>
<resourcetype xmlns="DAV:"/>
<checked-in xmlns="DAV:"/>
<checked-out xmlns="DAV:"/>
</prop></propfind>

Standardmäßig ist WebDAV nicht aktiviert. Wer es dennoch aktiviert hat, sollte es abschalten oder Zugriffe aus dem Internet unterbinden, bis weitere Infromationen und eine Lösung für das Problem vorliegen.

Eine ähnliche Lücke in IIS fand sich im Jahre 2000 in IIS 4 und 5. Der Sicherheitsspezialist Thierry Zoller hat in seinem Blog einen Vergleich zwischen der alten und der neue Lücke angestellt.

Quelle : www.heise.de

[SiLæncer]

Microsoft hat die am vergangenen Wochenende gemeldete Lücke im Internet Informationen Server (IIS) bestätigt. Laut Hersteller sind aber über die Version 6.0 hinaus auch die Versionen 5.0 und 5.1 betroffen. In IIS 7.0 ist der Fehler laut Microsoft nicht vorhanden.

Durch einen Fehler in der WebDAV-Funktion beim Dekodieren von URLs mit Unicode-Zeichen ist es möglich, die Authentifizierungsfunktionen auszuhebeln und auf geschützte Ordner und Dateien im Kontext des standardmäßig eingerichteten anonymen Users-Kontos zuzugreifen. Laut Microsoft hat dieser Nutzer in den Default-Einstellungen keine Schreibrechte auf dem Server, sodass sich entgegen dem ursprünglichen Bericht wohl doch keine Dateien auf dem Server durch die Lücke ablegen lassen.

Üblicherweise ist WebDAV laut Hersteller nach der Installation des IIS aktiviert, nur bei der Installation der Version 6.0 auf Windows Server 2003 ist die Funktion abgeschaltet. Microsoft hat in seinem "Security Research & Defense"-Blog weitere Informationen veröffentlicht, in welchen Konfigurationen das System verwundbar ist.

Microsoft macht im Fehlerbericht keine klaren Angaben, ob man das Problem mit einen Update beseitigen will. Erst nach den abschließenden Untersuchungen will man weitere Schritte einleiten. Dazu könnte ein Patch gehören, was aber "von den Kundenanforderungen abhänge". Bis dahin schlägt Microsoft zwei Workarounds vor: WebDAV abschalten oder Zugriffe des anonymen Nutzers blockieren. Anleitungen dafür hält Microsoft in seinem Fehlerbericht bereit. Zudem lassen sich mit URLScan manipulierte URLs ausfiltern.

Quelle : www.heise.de