0-Day-Lücke in IIS: Microsoft kündigt IIS-Patch an

Diskutiere 0-Day-Lücke in IIS: Microsoft kündigt IIS-Patch an im IT-News Forum im Bereich News; Als erste öffentliche Reaktion auf die Offenlegung einer Sicherheitslücke in den Microsoft Internet Information Services (IIS) hat der Hersteller...

Eric-Cartman

Threadstarter
Dabei seit
22.06.2005
Beiträge
8.640
Alter
40
1376045b14d895687e.gif


137604561da5087b28.jpg


Als erste öffentliche Reaktion auf die Offenlegung einer Sicherheitslücke in den Microsoft Internet Information Services (IIS) hat der Hersteller eine Sicherheitsmeldung heraus gegeben. Darin gibt Microsoft Empfehlungen für Schutzmaßnahmen.

Wie gestern gemeldet, ist eine bis dahin nicht bekannte Sicherheitslücke im FTP-Dienst des zu Windows gehörenden Web-Servers IIS öffentlich gemacht worden. Ein Hacker, der sich "Kingcope" nennt, hat einen Demo-Exploit im Web veröffentlicht. Mit diesem ist es offenbar möglich in anfällige Windows-Server einzudringen und die Kontrolle über das System zu erlangen. Microsoft hat inzwischen eine Sicherheitsmeldung zur IIS-Lücke heraus gegeben.

In der Sicherheitsmeldung 975191 bestätigt Microsoft, dass IIS 5.0, 5.1 und 6.0 betroffen sind. Diese laufen unter Windows 2000, XP respektive Server 2003. Nicht anfällig ist demnach IIS 7.0 für Vista, Windows 7 und Server 2008. Reale Angriffe seien bislang nicht bekannt. Voraussetzung für einen erfolgreichen Angriff ist, dass der FTP-Dienst konfiguriert ist anonyme Anmeldungen zuzulassen. Solche Benutzer müssten Schreibrechte erhalten und neue Verzeichnisse anlegen können.

Daraus ergeben sich zwei Vermeidungsstrategien, wenn der FTP-Dienst nicht gänzlich abgeschaltet werden soll. Einerseits kann der Administrator anonymen Benutzern die Schreibrechte sperren. Das ist standardmäßig der Fall, kann jedoch im Einzelfall geändert worden sein. Die Benutzer können dann keine Dateien per FTP hochladen, jedoch WebDAV dazu nutzen.

Die andere Möglichkeit ist den FTP-Nutzern das Recht zum Anlegen von Verzeichnissen zu entziehen. Sie können dann weiterhin Dateien per FTP hochladen. Der veröffentlichte Exploit-Code basiert auf der Möglichkeit Verzeichnisse mit speziellen Namen zu erstellen. Durch Absetzen des Befehls nlst (name listing) kann ein Angreifer dann seinen Shell-Code einschleusen und ausführen.

Microsoft arbeitet nach eigenen Angaben zurzeit an einem Update, dass die Schwachstelle beseitigen soll. Einen Bereitstellungstermin lässt Microsoft wie üblich erstmal offen. Der nächste Patch Day ist am kommenden Dienstag, 8. September - das könnte knapp werden.


 
Thema:

0-Day-Lücke in IIS: Microsoft kündigt IIS-Patch an

0-Day-Lücke in IIS: Microsoft kündigt IIS-Patch an - Ähnliche Themen

Sicherheits-Patches gegen Spectre und Meltdown - auf diesen Systemen sieht Terry Myerson Performance-Einbußen: Obwohl das Problem der Sicherheitslücken mit den Namen "Meltdown" und "Spectre" schon seit Monaten bekannt gewesen ist und unter Geheimhaltung...
AMD kündigt BIOS-Updates an, um die von CTS Labs veröffentlichten Sicherheitslücken in Kombination mit Windows-Patch zu schließen - UPDATE: Mark Papermaster, seinerseits Technik-Chef bei AMD, hat sich in einem Blogbeitrag ausführlich zu den von CTS Labs veröffentlichten...
CPU-Sicherheitslücke: laut Google nicht nur CPUs von Intel, sondern teilweise auch AMD und ARM betroffen - Microsoft bereitet Patch vor - UPDATE: Über die gestern berichtete CPU-Sicherheitslücke sind nun weitere, umfangreichere Informationen aufgetaucht. Neben einer genaueren Aufschlüsselung...
Intel erhält bei der Verteilung von Microcode-Updates gegen Meltdown & Spectre Unterstützung durch Microsofts Windows-Patches: Intels bisherige Verteilung von Microcode-Updates gegen die Sicherheitslücken Meltdown und Spectre sind bislang davon abhängig gewesen, ob die PC-...
Microsoft behebt mit KB4078130 System-Instabilitäten, die durch Intels Spectre-2-Patch hervorgerufen worden sind: Die Anfang des Jahres bekannt gegebenen Hardware-Sicherheitslücken "Meltdown" und "Spectre" haben weltweit für Unsicherheit und Chaos gesorgt, da...
Oben