Der Microsoft Site Server 3.0 weist insbesondere vor Installation des Site Server Service Pack 4 zahlreiche Schwachstellen auf.

Betroffene Systeme

• Microsoft Site Server 3.0
• Microsoft Site Server 3.0, Commerce Edition

Einfallstor

1. Benutzeraccount mit bekanntem Passwort
2. Administrative Webseiten
3. Administrative Webseiten
4. Anonymer LDAP Zugriff (Port 1002)
5. Administrative Webseiten

Auswirkung

1. Zugriff auf den Server mit Privilegien der Guest-Gruppe
2. Modifizierung der LDAP-Benutzer und -Gruppen des Site Servers
3. Es können LDAP Schemata und Passwort Reminder ausgelesen werden
4. Anonymer LDAP-Zugriff, durch den die Klartextpasswörter von LDAP-Benutzeraccounts ausgelesen werden können
5. Ausführung beliebigen Scriptcodes, Denial of Service (DoS)

Typ der Verwundbarkeit

1. design flaw (festes, bekanntes Passwort)
2. administrative Webseiten (sollten laut best practise entfernt werden)
3. administrative Webseiten (sollten laut best practise entfernt werden)
4. design flaw (Klartextpasswörter)
5. design flaw (directory transversal bug)

Gefahrenpotential

1. mittel bis hoch
2. mittel
3. niedirg
4. mittel bis hoch
5. mittel bis hoch

Beschreibung

1. Bei der Installation des Site Server 3.0 wird ein anonymer LDAP-Benutzeraccount (LDAP_ANONYMOUS) eingerichtet. Dieser Benutzeraccount weist bei fehlendem SP4 für den Site Server, standardmässig das Passwort (LdapPassword_1) auf und gehört der Guest-Benutzergruppe an. Der Account besitzt das Privileg "log on locally", wodurch Angreifer mittels diesen Accounts sich lokal anmelden und mit den Benutzerrechen der Guest-Gruppe agieren können.
   Das Passwort LdapPassword_1 ist ferner in folgende System-DLLs fest implementiert:
   • \winnt\system32\pNmsrvs.dll
   • \winnt\system32\inetsrv\dscomobj.dll
   Durch die Installation des SP4 für den Site Server wird bei jedem Neustart des Site Server Dienstes ein neuer, mit zufälligem Passwort versehener LDAP_ANONYMOUS-Benutzeraccount eingerichtet. Der vorherige LDAP_ANONYMOUS-Benutzeraccount wird zuvor gelöscht, jedoch wird durch diese Realisierung des Passwortneusetzens jedesmal eine neue SID vergeben, wodurch SID basierte ACLs für diesen Account nur schwer einzurichten sind.
2. Mittels der administrativen Webseiten des Site Servers unter (/SiteServer/Admin/) und Verwendung des anonymen LDAP-Benutzeraccount (LDAP_ANONYMOUS) können LDAP Benutzer und Gruppen geändert, modifiziert und gelöscht werden. Des weiteren können beispielsweise installierte Site Server Komponenten, LDAP Konfigurationsparameter und bekannte Domains ausgelesen werden.
   Wurde der SP4 des Site Servers installiert entfällt die Möglichkeit des Angriffs über den LDAP_ANONYMOUS-Benutzeraccount, jedoch besitzt jeder gültige Benutzeraccount die Möglichkeit LDAP Benutzer und Gruppen zu editieren.
3. Mittels der unter wwwroot\_mem_bin angelegten ASP-Webseiten des Site Servers können mit gültigem Benutzeraccount (bei nicht installiertem SP4 z.B. dem LDAP-ANONYMOUS-Benutzeraccount) die LDAP Schemata (AUO) bzw. Passwort Reminder über auoconfig.asp bzw. remind.asp ausgelesen werden.
4. Der LDAP-Dienst (Port 1002) des Site Servers läßt anonyme Verbindungen mit Lesezugriff zu. Da die Passwörter von LDAP-Benutzeraccounts des Site Servers in Klartext abgelegt werden, kann ein Angreifer Loginname und Passwörter der LDAP-Benutzeraccounts auslesen.
5. Durch eine Schwachstelle in dem Publishing-Script unter /SiteServer/Publishing/, welche die /scripts/cphost.dll verwendet, können Angreifer mit gültigem Login/Passwort beliebige ASP-Dateien auf dem Server ablegen und danach ausführen. Dazu wird der Publishing-Webseite beispielsweise der Dateiname "../test.asp" und die Publishing-URL "/Sites/Publishing/Users/" übergeben. Die test.asp-Datei würde dadurch im Verzeichnis /Sites/Publishing/ abgelegt, welches standardmässig die Berechtigungen zum Ausführen von Skripten besitzt. Wurde der SP4 für den Site Server nicht installiert, so kann ein Angreifer über den anonymen LDAP-Benutzeraccount beliebigen Scriptcode auf dem Server auszuführen. Bei installiertem SP4 müsste ein Angreifer über Login/Passwort auf dem Site Server verfügen.
   Durch Ablage von großen Dateien auf dem Server könnte die Systempartition (c:\Microsoft Site Server\Sites\...) aufgefüllt werden, was potentiell zu einem Denial of Service (DoS) führen könnte.

Workaround

1. Installation des SP4 für den Site Server
2. Einschränkung bzw. Entfernung der administrativen Webseiten unter /SiteServer/Admin/
3. Einschränkung bzw. Entfernung der administrativen Webseiten unter wwwroot\_mem_bin
4. Filterung des LDAP-Zugriffs (Port 1002)
5. Einschränkung der Zugriffe auf das Publishing-System (/SiteServer/Publishing/) z.B. durch restriktive Dateisystem-ACLs auf die cphost.dll

Gegenmaßnahmen
Installation des bereits seit längerer Zeit erhältlichen SP4 für den Site Server:

• http://www.microsoft.com/siteserver/site/DeployAdmin/SP4.htm

Weitere Information zu diesem Thema

• Microsoft Technet Q248840 Possible Security Problem in LDAP_ANONYMOUS Account

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/