Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-352

[MS/IIS] zahlreiche Schwachstellen im Microsoft IIS 4.0/5.0
(2001-05-17 10:41:48+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/05/msg00096.html

Microsofts IIS 4.0/5.0 besitzt mehrere, teilweise schwerwiegende, Schwachstellen. Durch eine dieser Schwachstellen kann ein Angreifer beliebige Systembefehle mit den Privilegien des Benutzers IUSR_machinename ausführen.

Betroffene Systeme

Typ der Verwundbarkeit

  1. design flaw
  2. denial of service
  3. design flaw

Beschreibung

  1. Der Microsoft IIS besitzt eine Schwachstelle bei der Verarbeitung von HTTP-Requests, wodurch ein Angreifer Systembefehle mit den Privilegien des Benutzers IUSR_machinename (bei anonymer Verbindung, ansonsten mit den Privilegien des authentifizierten Benutzers) ausführen kann. Die Schwachstelle besteht darin, daß IIS URIs (Uniform Resource Identifiers, RFC 2396), die beispielsweise zur Auflösung von "My%20Documents" in "My Documents". benötigt werden, doppelt dekodiert. Die zweite Dekodierung ist überflüssig und wird ohne Sicherheitsüberprüfung ausgeführt, die nach dem ersten Dekodieren beispielsweise "..\" abfangen soll.
    Ein Angreifer kann durch diese Schwachstelle mittels doppelt dekodierten HTTP-Anfragen, z.B. "..%255c" für "..\", das Webroot-Verzeichnis verlassen und in der Defaulteinstellung der Zugriffsrechte beliebige Systembefehle auf dem Webserver ausführen. Der Benutzer IUSR_machinename hat dieselben Berechtigungen wie ein lokal angemeldeter Benutzer, kann also beispielsweie Verzeichnisse und Dateien auslesen, löschen, verändern und Programme ausführen.
    Von dieser Schwachstelle sind neben dem IIS 4.0/5.0 auch der IIS 3.0 und der Microsoft Personal Web Server unter Windows 9x/Me betroffen.
  2. Der IIS 4.0/5.0 ftp Dienst besitzt eine Schwachstelle bei der Wildcard-Verarbeitung wodurch eine Speicherauslastung und eine damit verbundene Überlastung der Webdienste erfolgt. Diese Schwachstelle kann ein Angreifer zu einem denial of service (DoS) Angriff ausnutzen. Während der IIS 4.0 seinen Dienst erst nach einem Neustart des IIS-Dienstes wieder aufnimmt, startet der IIS-Dienst unter Microsoft IIS 5.0 automatisch neu.
  3. Der Microsoft IIS 4.0/5.0 besitzt ferner eine Schwachstelle bei der Authentifikation von ftp-Verbindungen. Wird anstelle des Domainnames (bei der ftp-Verbindung) eine bestimmte Zeichenfolge übermittelt, so erfolgt eine Anfrage an trusted domains. Ist beispielsweise auf dem ftp-Server der Benutzer guest deaktiviert, innerhalb einer trusted domain aber aktiviert, so kann sich ein Angreifer als guest (der trusted domain) anmelden (falls es sich um ein Leerpaßwort handelt bzw. ihm das Paßwort bekannt ist). Die Ausnutzung dieser Schwachstelle kann nur erfolgen, falls der FTP Server ein Domänenmitglied ist. Durch diese Schwachstelle muß ein Angreifer nicht den exakten Domain-\Account-Name kennen, wodurch Anmeldeversuche mittels des Benutzer guest vereinfacht werden.
Die durch Installation der Sicherheits-Updates der Microsoft Security Bulletins MS00-60, MS01-14 und MS01-16 gepatchten Systeme besitzen neue Schwachstellen, die nun ihrerseits denial of service Angriffe ermöglichen.

Gefahrenpotential

  1. sehr hoch
  2. mittel (für IIS 4.0), niedrig (für IIS 5.0)
  3. hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Gegenmaßnahmen
Microsoft stellt Patches zur Behebung dieser Schwachstellen zur Verfügung. Bei den Patches handelt es sich um Sammel-Patches die nach Angaben von Microsoft die bisherigen Patches (für den IIS 4.0/5.0) beinhalten. Patches für die Front Page Server Extensions und den Index Server sind nicht Bestandteil dieser Sammel-Sicherheitsupdates!

Weitere Information zu diesem Thema

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=352