0-Day-Lücke in IIS: Microsoft kündigt IIS-Patch an

Diskutiere 0-Day-Lücke in IIS: Microsoft kündigt IIS-Patch an im IT-News Forum im Bereich IT-News; Als erste öffentliche Reaktion auf die Offenlegung einer Sicherheitslücke in den Microsoft Internet Information Services (IIS) hat der Hersteller...
#1
Eric-Cartman

Eric-Cartman

Moderator
Team
Dabei seit
22.06.2005
Beiträge
8.628
Alter
37
Ort
In Windows Nr. 10




Als erste öffentliche Reaktion auf die Offenlegung einer Sicherheitslücke in den Microsoft Internet Information Services (IIS) hat der Hersteller eine Sicherheitsmeldung heraus gegeben. Darin gibt Microsoft Empfehlungen für Schutzmaßnahmen.

Wie gestern gemeldet, ist eine bis dahin nicht bekannte Sicherheitslücke im FTP-Dienst des zu Windows gehörenden Web-Servers IIS öffentlich gemacht worden. Ein Hacker, der sich "Kingcope" nennt, hat einen Demo-Exploit im Web veröffentlicht. Mit diesem ist es offenbar möglich in anfällige Windows-Server einzudringen und die Kontrolle über das System zu erlangen. Microsoft hat inzwischen eine Sicherheitsmeldung zur IIS-Lücke heraus gegeben.

In der Sicherheitsmeldung 975191 bestätigt Microsoft, dass IIS 5.0, 5.1 und 6.0 betroffen sind. Diese laufen unter Windows 2000, XP respektive Server 2003. Nicht anfällig ist demnach IIS 7.0 für Vista, Windows 7 und Server 2008. Reale Angriffe seien bislang nicht bekannt. Voraussetzung für einen erfolgreichen Angriff ist, dass der FTP-Dienst konfiguriert ist anonyme Anmeldungen zuzulassen. Solche Benutzer müssten Schreibrechte erhalten und neue Verzeichnisse anlegen können.

Daraus ergeben sich zwei Vermeidungsstrategien, wenn der FTP-Dienst nicht gänzlich abgeschaltet werden soll. Einerseits kann der Administrator anonymen Benutzern die Schreibrechte sperren. Das ist standardmäßig der Fall, kann jedoch im Einzelfall geändert worden sein. Die Benutzer können dann keine Dateien per FTP hochladen, jedoch WebDAV dazu nutzen.

Die andere Möglichkeit ist den FTP-Nutzern das Recht zum Anlegen von Verzeichnissen zu entziehen. Sie können dann weiterhin Dateien per FTP hochladen. Der veröffentlichte Exploit-Code basiert auf der Möglichkeit Verzeichnisse mit speziellen Namen zu erstellen. Durch Absetzen des Befehls nlst (name listing) kann ein Angreifer dann seinen Shell-Code einschleusen und ausführen.

Microsoft arbeitet nach eigenen Angaben zurzeit an einem Update, dass die Schwachstelle beseitigen soll. Einen Bereitstellungstermin lässt Microsoft wie üblich erstmal offen. Der nächste Patch Day ist am kommenden Dienstag, 8. September - das könnte knapp werden.


 
Thema:

0-Day-Lücke in IIS: Microsoft kündigt IIS-Patch an

0-Day-Lücke in IIS: Microsoft kündigt IIS-Patch an - Ähnliche Themen

  • Spectre-Sicherheits-Lücke: Intel gibt geplante Patches bei über 10 Jahre alten CPUs wieder auf

    Spectre-Sicherheits-Lücke: Intel gibt geplante Patches bei über 10 Jahre alten CPUs wieder auf: Nachdem Intel bereits einige Patches gegen die im Januar aufgekommene Sicherheitslücke Spectre ausgegeben hat, welche der Hersteller allerdings...
  • Microsoft schließt mit Update gefährliche RCE-Lücke im Virenschutz

    Microsoft schließt mit Update gefährliche RCE-Lücke im Virenschutz: Mittels kumulativer Updates schließt Microsoft eine gefährliche Sicherheitslücke, welche sich in der Malware Protection Engine des Defenders...
  • Microsoft: März-Patchday mit Updates vom Februar - zahlreiche Lücken geschlossen

    Microsoft: März-Patchday mit Updates vom Februar - zahlreiche Lücken geschlossen: Üblicherweise ist der zweite Dienstag im Monat der Tag, an dem Microsoft seine Sicherheitsupdates für Windows, Office und weitere Anwendungen...
  • Lücken beim Schreiben mit dem Stift

    Lücken beim Schreiben mit dem Stift: Hallo, mir ist wieder aufgefallen das ich Lücken beim Schreiben in Onenote habe mit dem Stift. Bluetooth ist an und die Batterie habe ich auch...
  • Microsoft warnt vor Angriffen auf IIS-Lücke

    Microsoft warnt vor Angriffen auf IIS-Lücke: Hacker nutzen die Schwachstelle im begrenzten Umfang aus. Auch gibt es einen neuen Proof-of-Concept für DoS-Angriffe. Microsoft hat zudem Windows...
  • Ähnliche Themen

    Oben