Neue Sicherheitslücke in Microsofts IIS aufgedeckt

Microsofts Internet Information Services (IIS) verfügen über eine neu bekannt gewordene Sicherheitslücke, über die ein Angreifer Code in ein System einschleusen kann. Betroffen sind die Versionen 6 und niedriger. Der Sicherheits-Experte Soroush Dalili hat den Fehler nach eigenen Angaben bereits im April 2008 entdeckt. Jetzt legte er Details über das Problem offen. Demnach kann ausführbarer Code in einen Server eingeschleust werden, indem man ein anderes, angeblich sicheres Dateiformat vorgaukelt.

So ist es beispielsweise möglich, ASP-Code auf einen Server zu laden, obwohl dies in den Sicherheits-Einstellungen ausgeschlossen wird. Dafür muss der entsprechende Dateiname lediglich mit der Endung einer vermeintlich unproblematischen Datei - etwa eines JPEG-Bildes - versehen werden, die per Semikolon abgetrennt wird.

Der Dateiname müsste in diesem Fal also "file.asp;.jpg" lauten. Das in der Datei enthaltene ASP-Script wird dann vom Webserver ausgeführt und kann so weitergehende Manipulationen an einer Webanwendung ermöglichen. Ein Angreifer kann so beispielsweise Nutzerdaten vom Server entwenden oder auch Schadcodes in die Webseiten integrieren.

Das Risiko ist nach Angaben Microsofts aber gering. Der Webserver müsse schon entsprechend unsicher konfiguriert sein, indem Scripten von Außen überhaupt Schreibrechte gewährt werden. Wann mit einem Patch, der das Problem behebt, gerechnet werden kann, wurde noch nicht angegeben.