Der Microsoft ISA Server 2000 besitzt zwei Schwachstellen wodurch Denial of Service (DoS) Angriffe möglich sind. Ferner eine cross-site scripting Schwachstelle bei der Erzeugung von Fehlerseiten.

Betroffene Systeme

• Microsoft ISA Server 2000

Einfallstor

1. spezielle Datenpakete, die das System in seiner Funktion als Firewall oder Proxy empfängt
2. spezielle Datenpakete, die das System in seiner Funktion als Firewall oder Proxy empfängt
3. URL auf nicht existierende Webseiten

Auswirkung

1. Denial of Service (DoS) Angriff
2. Denial of Service (DoS) Angriff
3. Ausführung von Scriptcode im Sicherheitskontext einer anderen, mutmaßlich vertrauenswürdigen Webseite.
   Lese- und Schreibzugriff auf Cookies

Typ der Verwundbarkeit

1. Implementierungsfehler (memory leak)
2. Implementteirungfehler (memory leak)
3. cross-site scripting vulnerability

Gefahrenpotential

1. mittel
2. mittel
3. hoch

Beschreibung

1. Der H.323 Gatekeeper Dienst des ISA Server 2000, zur Realisierung von Sprache über IP durch Firewalls, ist fehlerhaft implementiert, mit der Folge, daß im Betrieb ein Speicherleck auftreten kann. Ein Angreifer kann durch Ausnützung dieser Schwachstelle einen Denial of Service (DoS) Angriff gegen den ISA Server durchführen. Dies kann von sowohl vom durch die Firewall geschützten, inneren Netz als auch von außerhalb dieses Netzes erfolgen.
   Diese Schwachstelle tritt nur dann auf, wenn der IP telephony Dienst aktiviert ist. Dies ist bei der Vollinstallation des ISA Servers, nicht jedoch bei der Typical Installation standardmäßig der Fall.
2. Der Proxy Dienst des ISA Server 2000 besitzt ebenfalls ein Speicherleck. Ein Angreifer kann durch Ausnützung dieser Schwachstelle einen Denial of Service Angriff gegen den ISA Server durchführen. Dies ist nur vom internen Netzwerk und nicht von außerhalb möglich.
3. Der ISA Server 2000 besitzt ferner eine Cross-site scripting Schwachstelle bei der Erzeugung von Fehlerantworten (speziell jene, die der ISA Server generiert, wenn die angeforderte Seite nicht gefunden werden kann). Ein Angreifer kann diese Schwachstelle beispielsweise mittels einer arglistigen Webseite und/oder Hyperlinks in HTML-E-Mails ausnützen. Dazu muß der Angreifer für das Opfer als vertrauenswürdig konfigurierte Webserver erraten und einen ungültigen URL (der einen 404 File not found Fehler erzeugen würde) formulieren, der als Ziel einen solchen Server hat. Das Opfer (hinter einem solchermaßen verwundbaren ISA Server) muß dann diesen Link ausführen. Unter diesen Rahmenbedingungen würde im URL enthaltener Scriptcode im Sicherheitskontext dieser, mutmaßlich vertrauenswürdigen Webseite ausgeführt.

Gegenmaßnahmen
Microsoft stellt einen Patch zur Verfügung:

• Microsoft ISA Server 2000:
  http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32094

Weitere Information zu diesem Thema

• Microsoft Security Bulletin MS01-045 ISA Server H.323 Gatekeeper Service Contains Memory Leak

Weitere Artikel zu diesem Thema:

• [MS/ISA] Denial of Serivice Angriff gegen Microsoft ISA Server (2001-11-08)
  Der Microsoft ISA Server kann mittels fragmentierter UDP Pakete dazu gebracht werden, seinen Betrieb einzustellen.
• [MS/ISA] Schwachstelle im Web-Proxy des Microsoft ISA Server (2001-04-17)
  Der Web-Proxy-Dienst des Microsoft ISA Server 2000 kann durch eine überlange HTTP Anfrage lahmgelegt werden.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/