Microsofts IIS 4.0/5.0 besitzt mehrere, teilweise schwerwiegende, Schwachstellen. Durch eine dieser Schwachstellen kann ein Angreifer beliebige Systembefehle mit den Privilegien des Benutzers IUSR_machinename ausführen.

Betroffene Systeme

• Microsoft Internet Information Server 4.0
• Microsoft Internet Information Services 5.0

Typ der Verwundbarkeit

1. design flaw
   
2. denial of service
   
3. design flaw
   

Beschreibung

1. Der Microsoft IIS besitzt eine Schwachstelle bei der Verarbeitung von HTTP-Requests, wodurch ein Angreifer Systembefehle mit den Privilegien des Benutzers IUSR_machinename (bei anonymer Verbindung, ansonsten mit den Privilegien des authentifizierten Benutzers) ausführen kann. Die Schwachstelle besteht darin, daß IIS URIs (Uniform Resource Identifiers, RFC 2396), die beispielsweise zur Auflösung von "My%20Documents" in "My Documents". benötigt werden, doppelt dekodiert. Die zweite Dekodierung ist überflüssig und wird ohne Sicherheitsüberprüfung ausgeführt, die nach dem ersten Dekodieren beispielsweise "..\" abfangen soll.
   Ein Angreifer kann durch diese Schwachstelle mittels doppelt dekodierten HTTP-Anfragen, z.B. "..%255c" für "..\", das Webroot-Verzeichnis verlassen und in der Defaulteinstellung der Zugriffsrechte beliebige Systembefehle auf dem Webserver ausführen. Der Benutzer IUSR_machinename hat dieselben Berechtigungen wie ein lokal angemeldeter Benutzer, kann also beispielsweie Verzeichnisse und Dateien auslesen, löschen, verändern und Programme ausführen.
   Von dieser Schwachstelle sind neben dem IIS 4.0/5.0 auch der IIS 3.0 und der Microsoft Personal Web Server unter Windows 9x/Me betroffen.
2. Der IIS 4.0/5.0 ftp Dienst besitzt eine Schwachstelle bei der Wildcard-Verarbeitung wodurch eine Speicherauslastung und eine damit verbundene Überlastung der Webdienste erfolgt. Diese Schwachstelle kann ein Angreifer zu einem denial of service (DoS) Angriff ausnutzen. Während der IIS 4.0 seinen Dienst erst nach einem Neustart des IIS-Dienstes wieder aufnimmt, startet der IIS-Dienst unter Microsoft IIS 5.0 automatisch neu.
3. Der Microsoft IIS 4.0/5.0 besitzt ferner eine Schwachstelle bei der Authentifikation von ftp-Verbindungen. Wird anstelle des Domainnames (bei der ftp-Verbindung) eine bestimmte Zeichenfolge übermittelt, so erfolgt eine Anfrage an trusted domains. Ist beispielsweise auf dem ftp-Server der Benutzer guest deaktiviert, innerhalb einer trusted domain aber aktiviert, so kann sich ein Angreifer als guest (der trusted domain) anmelden (falls es sich um ein Leerpaßwort handelt bzw. ihm das Paßwort bekannt ist). Die Ausnutzung dieser Schwachstelle kann nur erfolgen, falls der FTP Server ein Domänenmitglied ist. Durch diese Schwachstelle muß ein Angreifer nicht den exakten Domain-\Account-Name kennen, wodurch Anmeldeversuche mittels des Benutzer guest vereinfacht werden.

Gefahrenpotential

1. sehr hoch
   
2. mittel (für IIS 4.0), niedrig (für IIS 5.0)
   
3. hoch

Gegenmaßnahmen
Microsoft stellt Patches zur Behebung dieser Schwachstellen zur Verfügung. Bei den Patches handelt es sich um Sammel-Patches die nach Angaben von Microsoft die bisherigen Patches (für den IIS 4.0/5.0) beinhalten. Patches für die Front Page Server Extensions und den Index Server sind nicht Bestandteil dieser Sammel-Sicherheitsupdates!

• Microsoft IIS 4.0
  http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29787
  Dieser Patch beinhaltet nach Angaben von Microsoft zahlreiche Sicherheitsupdates für den IIS 4.0, allerdings nicht alle verfügbaren Sicherheitsupdates. Eine Auflistung der beinhalteten Fixes entnehmen Sie bitte MS01-026.
• Microsoft IIS 5.0
  http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29764
  Nach Angaben von Microsoft beinhaltet dieser Patch auch folgende frühere Sicherheitsupdates (für den IIS 5.0):
  
  • Microsoft Security Bulletin MS01-023
  • Microsoft Security Bulletin MS01-016
  • Microsoft Security Bulletin MS01-014
  • Microsoft Security Bulletin MS01-004
  • Microsoft Security Bulletin MS00-100
  • Microsoft Security Bulletin MS00-086
  • Microsoft Security Bulletin MS00-080
  • Microsoft Security Bulletin MS00-078
  • Microsoft Security Bulletin MS00-060
  • Microsoft Security Bulletin MS00-058
  • Microsoft Security Bulletin MS00-057
  • Microsoft Security Bulletin MS00-044
  • Microsoft Security Bulletin MS00-031
  • Microsoft Security Bulletin MS00-030
  • Microsoft Security Bulletin MS00-023
  • Microsoft Security Bulletin MS00-019

Weitere Information zu diesem Thema

• Microsoft Security Bulletin MS01-026 Superfluous Decoding Operation Could Allow Command Execution via IIS
• NSFOCUS Security Advisory(SA2001-02) Microsoft IIS CGI Filename Decode Error Vulnerability
• CERT/CC Advisory CA-2001-12 Superfluous Decoding Vulnerability in IIS

Weitere Artikel zu diesem Thema:

• [MS/IIS] Neuer Wurm tritt in die Fußstapfen von Code Red (Update) (2001-08-05)
  Ein neuer Wurm ist gesichtet worden, der dieselbe Schwachstelle wie Code Red zur Verbreitung nutzt, aber darüberhinaus Schadensroutinen enthält. Die "CodeRedII" genannte Variante installiert Backdoors, wodurch Angreifer leichte Kontrolle über das System erlangen können.
• [MS/IIS] erneuter Ausbruch des "Code Red"-Wurmes befürchtet (2001-07-30)
  Es wird für den 01. August mit einem erneuten Ausbruch des "Code Red" Wurms gerechnet. Dieser Wurm befällt Microsoft IIS Webserver über die .ida ISAPI Schwachstelle (MS01-033).
• [MS/IIS] Würmer nutzen Microsoft IIS Schwachstellen aus (UPDATE) (2001-07-18)
  Es werden mehrere Würmer gemeldet, die sich selbständig durch Kompromittierung von Microsoft IIS Webservern verbreiten.
• [MS/IIS/Index Server] Schwachstelle in ISAPI Erweiterungen (2001-06-19)
  Durch einen buffer overflow bug in den ISAPI Erweiterungen .idq und .ida, die standardmäßig auf Microsoft IIS Webserven installiert werden, kann ein Angreifer beliebigen Programmcode mit Systemprivilegien ausführen.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/