Schwachstelle im FTP-Modul von Microsoft IIS 5, 5.1 und 6
1. September 2009
Schwachstelle im FTP-Modul von Microsoft IIS 5, 5.1 und 6
Da diese Schwachstelle über das Netz ausgenützt werden kann, bittet CERT.at um Beachtung der folgenden Meldung:
Informationsquelle(n):
Meldung des Internet Storm Centers
http://isc.sans.org/diary.html?storyid=7039
Demoexploit
http://milw0rm.com/exploits/9541
Meldung bei Heise
http://www.heise.de/security/
US-CERT Alert
http://www.kb.cert.org/vuls/id/276653
Advisory von Microsoft
http://www.microsoft.com/technet/security/advisory/975191.mspx
Secunia Klarstellung
http://secunia.com/blog/62/
Beschreibung
Es wurde Code zur Ausnutzung eines Fehlers im FTP-Modul des Internet Information Servers (IIS) veröffentlicht. Dieser Exploit basiert auf einem Buffer Overflow beim Ausführen des NLST Kommandos in einem speziell angelegtem Verzeichnis.Auswirkungen
Über diesen Fehler kann beliebiger Code auf dem betroffenen Systemen ausgeführt werden. Beispielcode, der neue User anlegt oder einen Fernzugriff erlaubt, wurde bereits im Internet publiziert. Es sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.Betroffene Systeme
Auf jeden Fall betroffen ist der IIS in der Version 5, so wie er auf Windows 2000 zu finden ist. Die in IIS 5.1 und 6 verwendete "stack cookie protection" erschwert das Ausnützen dieser Schwachstelle deutlich. Ein Denial-of-Service Angriff auf den FTP-Dienst ist leicht möglich, eine Komprommitierung des Rechners ist hingegen deutlich schwieriger zu erreichen. Code dazu wurde noch nicht publiziert. Für einen erfolgreichen Angriff ist es nötig, dass sich der Angreifer per FTP einloggen kann und danach die Rechte hat um Verzeichnisse anzulegen. Ersteres ist oft durch den Standardaccount für anonymen FTP-Zugang ("anonymous") möglich.Abhilfe
Microsoft stellt noch kein Update zur Verfügung. CERT.at empfiehlt in der Zwischenzeit:- Das FTP-Modul des IIS zu deaktivieren, wenn dieser Dienst nicht bewusst eingeschalten und auch benötigt wird.
- Den anonymen FTP-Zugang abzudrehen, so dieser nicht gewünscht wird.
- Die Schreibrechte für alle Benutzer, insbesondere "anonymous", so weit wie möglich zu limitieren.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.Informationsquelle(n):
Meldung des Internet Storm Centers
http://isc.sans.org/diary.html?storyid=7039
Demoexploit
http://milw0rm.com/exploits/9541
Meldung bei Heise
http://www.heise.de/security/
US-CERT Alert
http://www.kb.cert.org/vuls/id/276653
Advisory von Microsoft
http://www.microsoft.com/technet/security/advisory/975191.mspx
Secunia Klarstellung
http://secunia.com/blog/62/