Durch einen buffer overflow bug in den ISAPI Erweiterungen .idq und .ida, die standardmäßig auf Microsoft IIS Webserven installiert werden, kann ein Angreifer beliebigen Programmcode mit Systemprivilegien ausführen.

Betroffene Systeme

• Microsoft Index Server 2.0 (Windows NT 4.0)
• Indexing Service für Windows 2000/XP
• Microsoft Windows NT 4.0 Internet Information Services 4.0
• Microsoft Windows 2000 Internet Information Services 5.0
• Microsoft Windows XP beta Internet Information Services 6.0 beta

Einfallstor
HTTP-Request

Auswirkung
Ausführung beliebigen Programmcodes mit Systemprivilegien.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Die Standardinstallation eines Microsoft IIS Webservers beinhaltet ISAPI (Internet Services Application Programming Interface) Erweiterungen für den Index Server 2.0/Indexing Service. Wie nun bekannt wurde, besitzen die ISAPI Erweitungen .ida (Internet Data Administration) und .idq (Internet Data Queries) einen buffer overflow bug.

Diese Schwachstelle kann ein Angreifer ausnutzen, um mittels einer (anonymen) HTTP-Anfrage beliebigen Programmcode auf dem Webserver mit Systemprivilegien auszuführen. Die Schwachstelle kann auch ausgenutzt werden, falls der Index Server 2.0/Indexing Service Dienst deaktiviert ist.

Microsoft IIS Webserver welche die .idq und .ida Script Mappings entfernt haben, sind von dieser Verwundbarkeit nicht betroffen.
Zur Ausnützung der beschriebenen Schwachstelle ist ein IIS Webserver notwendig, d.h. Systemem ohne IIS Webserver sind nicht verwundbar.

Gegenmaßnahmen
Microsoft stellt Patches zur Beseitigung dieser Schwachstelle zur Verfügung.

• Windows NT 4.0:
  http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833
• Windows 2000 Professional, Server und Advanced Server:
  http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800

Workaround
Entfernen Sie alle nicht benötigten Script Mappings (insbesondere .idq und .ida)

• Öffnen Sie dazu den Internet Services Manager (Internet Information Services Snap-In für die MMC), gehen mittels rechts-klick auf den Webserver auf den Kontextmenüpunkt Properties. Wählen Sie dort HomeDirectory | Configuration aus und entfernen (mindestens) folgende Einträge:
  • .idq
  • .ida
  Da die Script Mappings bei Systemveränderungen, beispielsweise dem Hinzufügen/Entfernen mittels des Control Panel "Add/Remove Programs" "rekonfiguriert" werden, sollten die aktuellen Einstellungen überprüft und der Patch installiert werden.

Weitere Information zu diesem Thema

• eEye Digital Security All versions of Microsoft Internet Information Services Remote buffer overflow (SYSTEM Level Access)

Weitere Artikel zu diesem Thema:

• [MS/IIS] mehrere Schwachstellen im Microsoft IIS Webserver (2001-08-16)
  Die IIS Webserver unter Windows NT 4.0 und Windows 2000 besitzen mehrer Schwachstellen. So wurden nun zwei Schwachstellen, die zur unautorisierten Privilegienerweiterung verwendet werden können und drei mögliche Denial of Service (DoS) Angriffspunkte veröffentlicht.
• [MS/IIS] Neuer Wurm tritt in die Fußstapfen von Code Red (Update) (2001-08-05)
  Ein neuer Wurm ist gesichtet worden, der dieselbe Schwachstelle wie Code Red zur Verbreitung nutzt, aber darüberhinaus Schadensroutinen enthält. Die "CodeRedII" genannte Variante installiert Backdoors, wodurch Angreifer leichte Kontrolle über das System erlangen können.
• [MS/IIS] erneuter Ausbruch des "Code Red"-Wurmes befürchtet (2001-07-30)
  Es wird für den 01. August mit einem erneuten Ausbruch des "Code Red" Wurms gerechnet. Dieser Wurm befällt Microsoft IIS Webserver über die .ida ISAPI Schwachstelle (MS01-033).
• [MS/IIS] Würmer nutzen Microsoft IIS Schwachstellen aus (UPDATE) (2001-07-18)
  Es werden mehrere Würmer gemeldet, die sich selbständig durch Kompromittierung von Microsoft IIS Webservern verbreiten.
• [MS/IIS] zahlreiche Schwachstellen im Microsoft IIS 4.0/5.0 (2001-05-17)
  Microsofts IIS 4.0/5.0 besitzt mehrere, teilweise schwerwiegende, Schwachstellen. Durch eine dieser Schwachstellen kann ein Angreifer beliebige Systembefehle mit den Privilegien des Benutzers IUSR_machinename ausführen.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/