Thema: Microsofts IIS ...

[SiLæncer]

Auf der Sicherheitsmailingliste Full Disclosure ist ein Exploit aufgetaucht, mit dem sich Angreifer über den FTP-Dienst angeblich Systemrechte auf Microsoft-Servern verschaffen können. Betroffen ist nach Aussagen des Autors "Kingcope" der FTP-Dienst von Microsofts Server-Suite Internet Information Services 5 und angeblich auch von Version 6 mit "Stack Cookie Protection". Einen Patch für die Schwachstelle gibt es bislang noch nicht.

Der Quellcode des Exploits wurde als PDF-Datei veröffentlicht. Erste unabhängige Sicherheitsexperten haben jedoch inzwischen seine Funktionsfähigkeit bestätigt. Er enthält speziell auf Windows 2000 zugeschnittenen Shellcode und nutzt einen anonymen FTP-Login, um sich mit dem angegriffenen Server zu verbinden. Dort legt er über das Kommando MKD zwei Verzeichnisse an. Den eigentlichen Auslöser stellt jedoch anscheinend der Befehl NLST (name list) zum Anzeigen des Inhalts eines Verzeichnisses dar. Da über die genaue Funktionsweise bislang nur wenig bekannt ist, dürfte auf betroffenen Systemen lediglich die Beschränkung auf FTP-Logins von vertrauenswürdigen Nutzern einen zuverlässigen Schutz bieten.

Quelle : www.heise.de

[SiLæncer]

Update:
Der Exploit scheint tatsächlich zu funktionieren. Die Macher der Security-Distribution Backtrack haben damit herumexperimentiert und eine erweiterte Version gebastelt, die eine Hintertür auf einem voll gepatchten Windows-2000-System mit IIS 5 öffnet. Sie demonstrieren das sogar in einem Video. Ein funktionierender Exploit für IIS 6 wurde allerdings noch nicht gesichtet.

Der belgische Sicherheitsspezialist Xavier Mertens hat ein Skript für den Portscanner Nmap gebastelt, mit dem man verwundbare Server im eigenen Netz aufspüren kann.

2. Update:
Thomas Baumgärtner, Pressesprecher von Microsoft bestätigte gegenüber heise Security, dass das Problem bei Microsoft bekannt sei und man daran arbeite, weitere Informationen bereit zu stellen, wie IIS-Administratoren ihre Server schützen können. Bislang lägen jedoch bei Microsoft keine Erkenntnisse vor, dass die Schwachstelle aktiv ausgenutzt worden sei, um in Systeme einzubrechen.

Das US-CERT empfiehlt unterdessen als temporären Workaround, den Schreibzugriff für anonyme Nutzer zu deaktivieren. Damit könne der Exploit das benötigte Verzeichnis nicht mehr anlegen, das den Fehler auslöst.

Quelle : www.heise.de

[SiLæncer]

In einer Sicherheitsnotiz warnt Microsoft vor einem kritischen Fehler im FTP-Server-Dienst der Internet Information Services (IIS). Vor zwei Tagen hatte ein Hacker mit den Pseudonym Kingcope einen Exploit veröffentlicht, der diese Lücke demonstrierte. Microsoft will so bald wie möglich ein Update bereit stellen, das den Fehler beseitigt; auf einen Termin legen sich die Redmonder dabei jedoch wie üblich nicht fest.

Von dem Fehler betroffen sind laut Microsoft die IIS-Versionen 5.0, 5.1 und 6.0 für Windows 2000, XP und Server 2003; die für Vista- und Server 2008 vorgesehenen IIS 7 sind hingegen nicht anfällig. Außerdem muss der Administrator den Schreibzugriff für Gastzugänge aktiviert haben. Da die Version 6 mit der Compiler-Option /GS übersetzt wurde, lässt sich dort der Fehler schwerer ausnutzen. Diese Option aktiviert die sogenannten Stack Cookies, die zwischen die Parameter auf dem Stack platziert und regelmäßig kontrolliert werden. Überschreibt ein Angreifer etwa beim Ausnutzen eines Pufferüberlaufs ein solches Cookie mit einem anderen Wert, wird das Programm beendet. Das produziert dann zwar einen Programmabsturz, verhindert aber einen Einbruch.

Interessant ist ein Workaround, den die Redmonder beschreiben. Demnach genügt es, im Root-Verzeichnis des FTP-Servers die Zugriffsrechte des Dateisystems NTFS so zu reduzieren, dass FTP-Nutzer keine Verzeichnisse mehr anlegen können. Der veröffentlichte Exploit erstellt zunächst ein Verzeichnis mit sehr speziellem Namen und löst den Fehler dann durch den Befehl NLST (name listing) aus. Alternativ kann man natürlich auch wie bereits beschrieben den Schreibzugriff für nicht-vertrauenswürdige FTP-Nutzer sperren.

    * Vulnerability in Internet Information Services FTP Service Could Allow for Remote Code Execution Sicherheitsnotiz von Microsoft

Quelle : www.heise.de

[SiLæncer]

Verschiedene Versionen der Microsoft Internet Information Services (IIS ) enthalten eine Sicherheitslücke, die nach Angaben des Entdeckers Soroush Dalili dazu genutzt werden könnte, Schadcode auf Windows-Webserver zu schleusen und auszuführen, die IIS-Dienste nutzen. Wie Dalili erläutert (PDF-Datei), handelt es sich um ein Problem beim Parsen von Dateinamen mit Semikolon-Erweiterung in IIS. Durch das Anhängen etwa von ";.jpg" an eine .asp-Datei, könnten Systeme, die die Ausführbarkeit von Code lediglich anhand der letzten Dateiendung analysieren, überlistet werden; eine Datei "malicious.asp;.jpg" würde auf dem Server dann als .asp-Datei ausgeführt.

Betroffen sind Dalilis Angaben zufolge die IIS-Versionen 6 und früher. Der Sicherheitsdienstleister Secunia hat die Lücke inzwischen für einen Windows Server 2003 R2 SP2 mit IIS 6 bestätigt. Anders als Dalili, der von einer "hochkritischen" Lücke ausgeht, stuft Secunia die Schwachstelle als "less critical" ein, die zweitniedrigste Stufe in der Secunia-Sicherheitslücken-Hierarchie. Das Internet Storm Center befürchtet jedoch, dass die Schwachstelle schon bald in großem Stil ausgenutzt werden könnte, um in Netzwerke einzudringen. Solange es keinen Patch gibt, sollten Webmaster die Ausführung von Code in Upload-Verzeichnissen generell unterbinden.

Quelle : www.heise.de

[SiLæncer]

Microsoft hat die Sicherheitslücke in seinem Webserver-Produkt IIS bestätigt, ohne allerdings genau anzugeben, welche Versionen betroffen sind. Dem Entdecker der sogenannten Semikolon-Lücke zufolge sind die Versionen bis einschließlich 6 verwundbar. Die Lücke ermöglicht etwa das Tarnen einer ausführbaren ASP-Datei als harmlose JPEG-Datei, sodass sich Schadcode auf einen Server hochladen lässt.

Laut Security Response Center (MSRC) untersuche man die Lücke und habe bislang keine Hinweise, dass Angreifer diese zum Kompromittieren von Servern bereits ausnutzen würden. Ein Hindernis dabei sind laut Microsoft die Umstände, die dafür erfüllt sein müssen: der Angreifer muss sich am Server authentifiziert haben, Schreib/Upload-Rechte auf ein Verzeichnis haben und für das Verzeichnis müssen die Rechte zum Ausführen von Code gegeben sein.

Obwohl diese Punkte auf keine Standardinstallation zutreffen, gehen die Einschätzungen über das Risiko erheblich auseinander. Der Sicherheitsdienstleister Secunia schätzt die Bedrohung als weniger kritisch ein. Das Internet Storm Center stuft das Problem als kritisch ein und empfiehlt betroffenen Anwendern bis zur Verfügbarkeit eines Patches die Installation abzusichern. Ein 8-Punkte-Plan des ISC soll dabei Hilfestellung geben. Auch Microsoft führt in seiner ersten Reaktion auf die Lücke einige Links zu Anleitungen mit Tipps zur Absicherung des Servers auf.

Quelle : www.heise.de

[SiLæncer]

Das "Microsoft Security Response Center" kann lediglich eine Inkonsistenz feststellen. In der Default-Konfiguration sei eine Ausnutzung der Lücke nicht möglich. Sicherheitsexperten halten auch die Standard-Konfiguration von IIS für gefährlich.

Microsoft hält die von Soroush Dalili entdeckte Sicherheitslücke in Internet Information Server (IIS) für sicherheitstechnisch unbedenklich. In einem Blogbeitrag des Microsoft Security Response Centers (MSRC) erklärt der Softwarehersteller die sechstägige Untersuchung für abgeschlossen - mit dem Ergebnis, dass keine Verwundbarkeit vorliege.

Es sei lediglich eine "Inkonsistenz" festgestellt worden, wie IIS 6 Semikola in Dateinamen behandele. Dalili hatte festgestellt, dass ein Dateiname wie bild1.asp;.jpg beim Upload als unbedenkliche JPEG-Bilddatei akzeptiert wird, beim Aufruf durch Anklicken oder direkte URL-Eingabe jedoch als ASP-Skript ausgeführt wird.

Microsoft führt an, dass diese Inkonsistenz in der Default-Konfiguration nicht relevant sei, da keine Schreibrechte vorhanden seien. In einer empfohlenen Konfiguration für ein Upload-Verzeichnis solle man keine Rechte zum Ausführen von Skripts oder Executables vergeben. Dies stünde auch so in den IIS 6.0 Security Best Practices.

Microsofts Ausführungen dürften Sicherheitsexperten allerdings wenig überzeugen. Wenn ein Upload-Verzeichnis gleichzeitig Schreib- und Ausführungsrechte beinhaltet, öffnet man generell eine große Angriffsfläche. Kriminelle können in einer solchen Konfiguration ohne Probleme auch Dateien mit Erweiterungen wie .exe, .bat, oder .vbs hochladen und ausführen.

Die von Dalili entdeckte Lücke kann jedoch relevant werden, wenn scheinbare Bilddateien vom Upload-Verzeichnis in ein anderes mit der Default-Konfiguration kopiert werden. In der Default-Konfiguration erlaubt Microsoft die Ausführung von Skripts. Dadurch kann ein Angreifer seinen Schadcode zur Ausführung bringen.

Websitebetreiber sollten daher generell die Default-Einstellungen ändern, dass weder Skripte noch Executables ausgeführt werden können. Alle Skripte sollten in separate Verzeichnisse kopiert werden, in denen sicherzustellen ist, dass kein von Benutzern generierter Content dort hingelangen kann.

Quelle : www.zdnet.de