Die IIS Webserver unter Windows NT 4.0 und Windows 2000 besitzen mehrer Schwachstellen. So wurden nun zwei Schwachstellen, die zur unautorisierten Privilegienerweiterung verwendet werden können und drei mögliche Denial of Service (DoS) Angriffspunkte veröffentlicht.

Betroffene Systeme

• Microsoft Internet Information Server (IIS) 4.0
• Microsoft Internet Information Server (IIS) 5.0

Einfallstor

1. HTTP Request
2. HTTP Request
3. Webseite mit falschem MIME Type
4. auf dem Webserver abgelegte server-side include Datei
5. auf dem Webserver ausgeführtes Programm

Auswirkung

1. Denial of Service (DoS) Angriff
2. Denial of Service (DoS) Angriff
3. Denial of Service (DoS) Angriff
4. unautorisierte Privilegienerweiterung
5. unautorisierte Privilegienerweiterung

Typ der Verwundbarkeit

1. design flaw
2. design flaw
3. design flaw
4. buffer overflow bug
5. design flaw (relative Pfadangaben)

Gefahrenpotential

1. mittel
2. niedrig
3. mittel
4. hoch
5. hoch

Beschreibung

1. Der IIS 4.0 besitzt eine Schwachstelle bei der Verarbeitung von URL Redirections. Diese Schwachstelle führt im Zusammenhang mit dem CodeRed-Wurm dazu, daß (gepatchte) IIS 4.0 Webserver durch den CodeRed-Wurm zum Absturz gebracht wurden.
2. Bei der Verarbeitung von sehr langen, ungültigen Request mittels WebDAV tritt eine Zugriffsverletzung auf, wodurch der IIS 5.0 Webserver beendet und gleich darauf neu gestartet wird. Dies führt zu einer kurzzeitigen Unterbrechung des Betriebes.
3. Der IIS 5.0 behandelt ungültige MIME (Multipurpose Internet Mail Extensions)-Header fehlerhaft. Ein Angreifer, der Webseiten mit solchen MIME-Headers auf dem Server plazieren kann, und diese danach aufruft, bringt den IIS 5.0 Webserver dazu, keine weiteren Request mehr zu bearbeiten.
4. Durch einen Pufferüberlauf im Programmcode, der für die Verarbeitung von server-side include (SSI) Dateien zuständig ist, kann beliebiger Programmcode mit SYSTEM-Privilegien auf dem Webserver ausgeführt werden.
   Um diese Schwachstelle effektiv ausnutzen zu können muß ein Angreifer auf dem Webserver eine präparierte SSI-Datei ablegen (d.h. schreibenden Zugriff auf dem Webserver besitzten) welche dann beim nächsten Zugriff (auf diese Seite) ausgeführt würde.
5. Durch eine Schwachstelle im IIS 5.0 Webserver sind Angreifer, die beliebigen Programmcode auf dem Webserver ausführen können, in der Lage, ihre Privilegien unautorisiert zu erweitern. Standardmässig werden die meisten Prozesse auf dem IIS 5.0 Webserver out of process (d.h. es wird ein neuer, eigenständiger Prozeß gestartet) ausgeführt, jedoch gibt es eine Liste mit Ausnahmen, die in process (d.h. im Kontext des IIS) ausgeführt werden. Die Prozeß-Tabelle, die diese Ausnahmen beinhaltet, verwendet sowohl absolute als auch relative Pfadangaben. Ein Angreifer (der auf dem Webserver Programme ablegen und ausführen kann) kann nun ein Programm auf dem Webserver hinterlegen, das den Namen eines der Programme aus der Ausnahmeliste trägt. Dadurch würde selbiges bei einem Start durch den Webserver nicht in out of process sondern in process ausgeführt.

Gegenmaßnahmen
Microsoft stellt einen Sammelpatch, der sowohl die neuen Schwachstellen beseitigt, als auch die meisten bisherigen Sicherheitsupdates (für den IIS) beinhaltet, zur Verfügung.

• Microsoft IIS 4.0 (Windows NT 4.0):
  http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32061
• Microsoft IIS 5.0 (Windows 2000):
  http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32011

• Microsoft Security Bulletin MS00-028
• Microsoft Security Bulletin MS00-025
• Microsoft Security Bulletin MS99-025
• Microsoft Security Bulletin MS99-013

• Windows NT 4.0:
  http://cert.uni-stuttgart.de/winnt-updates.php
• Windows 2000:
  http://cert.uni-stuttgart.de/win2000-updates.php

Weitere Information zu diesem Thema

• Microsoft Security Bulletin MS01-044
• Bugtraq Microsoft IIS ssinc.dll Buffer Overflow Vulnerability

Weitere Artikel zu diesem Thema:

• [MS/IIS/Index Server] Schwachstelle in ISAPI Erweiterungen (2001-06-19)
  Durch einen buffer overflow bug in den ISAPI Erweiterungen .idq und .ida, die standardmäßig auf Microsoft IIS Webserven installiert werden, kann ein Angreifer beliebigen Programmcode mit Systemprivilegien ausführen.
• [MS/IIS] zahlreiche Schwachstellen im Microsoft IIS 4.0/5.0 (2001-05-17)
  Microsofts IIS 4.0/5.0 besitzt mehrere, teilweise schwerwiegende, Schwachstellen. Durch eine dieser Schwachstellen kann ein Angreifer beliebige Systembefehle mit den Privilegien des Benutzers IUSR_machinename ausführen.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/