Windows Server: "Request of Death" führt zu abstürzenden Diensten

Wer auf Basis aktueller Windows-Systeme einen Webserver betreibt, sollte nochmal einen genaueren Blick auf die jüngst erschienenen Aktualisierungen werfen. Denn hier ist ein Patch enthalten, der gemäß der Beschreibungen unspektakulär wirkt, praktisch aber einen ziemlich problematischen Bug aus der Welt schaffen kann. Betroffen von dem Fehler sind die Internet Information Services (IIS), die auf einem Windows Server 2016 oder danach oder aber auf einem normalen Windows 10-System betrieben werden. Hier hatte sich herausgestellt, dass die bisherigen Versionen der IIS nicht ausreichend gegen problematische HTTP/2-Anfragen gewappnet waren.

In dem Protokoll besteht die Möglichkeit, dass der Client dem Server Informationen über das eigene System mitteilt, damit der Webserver gleich mit den passenden Inhalten reagieren kann. Allerdings besteht hier von Haus aus keine Begrenzung für den Umfang der Mitteilungen - diese müssten schon vom Webserver selbst vorgenommen werden, was das Microsoft-Produkt aber nicht tat.

Admins sollten aktiv werden

Das ermöglichte es Angreifern, den Server mit einem enorm großen Informations-Schwall zu überfluten und damit komplett zu überlasten. Im Endeffekt stellte das System so seinen Dienst für die regulären Nutzer ein oder stürzte komplett ab. Aus den Informationen, die Microsoft über die Schwachstelle veröffentlichte, geht nicht hervor, ob bereits praktische Angriffe dieser Art bekannt sind.

Administratoren, die mit Windows-Servern arbeiten, sollten aber nicht nur den jüngst veröffentlichten Patch einspielen, sondern möglichst auch manuelle Einstellungen vornehmen. Microsoft hat im zugehörigen Support-Artikel zwei Registry-Inhalte die man hinzufügen sollte, um die Menge der entgegengenommenen Informationen zu beschränken und Abstürze beziehungsweise Überlastungen von Beginn an zu verhindern.

Windows 10 FAQ Alle Fragen umfassend beantwortet Siehe auch: Patch-Nachschlag: Microsoft behebt alle bekannten Windows 10-Fehler