Kritische Sicherheitslücke in Microsofts IIS

28. Dezember 2009

Kritische Sicherheitslücke in Microsofts IIS.

Wegen der Dringlichkeit und der zu erwartenden Tragweite des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

Laut Angaben eines unabhängigen IT Sicherheitsexperten sind Microsofts Internet Information Services (IIS) aktuell von einer gravierenden Verwundbarkeit betroffen.

Ein Angreifer könnte sich den Umstand unterschiedlicher Ansätze der Namensverifikation von hochzuladenden bzw. auszuführenden Dateien zwischen (typischen) Webapplikationen und den IIS, zum Einschleusen von Schadcode auf dem betroffenen Server, zu Nutze machen.
Beispielsweise wird ein Dateiname wie "beispiel.asp;.jpg" üblicherweise von Webapplikationen aufgrund des abschließenden Suffixes ".jpg" zum Upload akzeptiert. Seitens der IIS würde diese Datei allerdings als ASP angesehen und bei Abruf ausgeführt werden.

Auswirkungen

Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.

Es ist zu erwarten, dass diese einfachst auszunützende Schwachstelle schon bald in großem Stil ausgenützt wird.

Betroffene Systeme

Laut aktuellem Wissensstand sind alle älteren Versionen des IIS bis inklusive Version 6 betroffen. Eine Überprüfung der Version 7 ist noch ausständig. Die Version 7.5 ist laut Information des Entdeckers (Stand vom 25. Dezember) nicht betroffen.

Abhilfe

Microsoft stellt noch kein Update zur Verfügung.

Über die Rechte des Upload-Verzeichnisses kann die Ausführung von Code in selbigem unterbunden werden. Dies ist über die Eigenschaften des betreffenden Vezeichnisses im IIS Manager zu erreichen.

Grundsätzlich ist es empfehlenswert, Upload-Verzeichnissen keinerlei Ausführungsrechte zu gewähren.

Da die Behebung dieses riskanten Zusammenspiels auf beiden Seiten, also auf IIS, wie auch Webapplikationen zu erwarten ist, sollte unbedingt auch mit Updates etwaiger CMS-Lösungen gerechnet werden.

Hinweis

Generell empfiehlt CERT.at, womöglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Bericht des Entdeckers
http://soroush.secproject.com/downloadable/iis-semicolon-report.pdf
Stellungnahme vom Microsoft Security Response Center (Englisch)
http://blogs.technet.com/msrc/archive/2009/12/27/new-reports-of-a-vulnerability-in-iis.aspx
Meldung auf Heise
http://www.heise.de/security/meldung/Sicherheitsluecke-in-Microsoft-IIS-892828.html
Meldung des Internet Storm Center (ISC) von SANS (Englisch)
http://isc.sans.org/diary.html?storyid=7816