Millionen Microsoft-Server angreifbar
Wieder ist ein böser Bug in Windows Internet Information Services entdeckt worden und wieder ist der Schwachpunkt rund um die ISAPI-Schnittstelle [Internet Service Application Programming Interface] angesiedelt.
Im Unterschied zur Anfang Mai entdeckten Verwundbarkeit sind diesmal auch die verbreiteten Version IIS 4.0 für NT 4.0 ebenso betroffen wie 5.0 für Windows 2000 und XP beta 6.0.
Gefährdet sind alle Installationen, die unter den MS-Standard-Einstellungen laufen und den Indexing Service nicht deaktiviert haben.
Sechs Millionen Server gefährdet
Laut Netcraft sind im Internet allein insgesamt fast sechs
Millionen IIS der angegebenen Betriebssysteme vertreten. Die in
internen Netzwerken eingesetzten IIS sind dabei nicht einmal
mitgezählt.
Der Patch von MicrosoftSchnelle Reaktion aus Redmond
Und noch ein Unterschied ist fest zu stellen. Hatte Microsoft im Mai zwar schnell, aber doch erst nach der Veröffentlichung des Bugs reagiert, ist nun Abhilfe zeitgleich mit der Veröffentlichung des Bugs zur Hand.
Die Nachricht kam gegen zwei Uhr morgens parallel über die bekannten Listen NTBugtraq und Securityfocus, beide Nachrichten hatten einen Link zum MS-Patch bereits inkludiert.
Ähnlichkeiten
Die Art der Verwundbarkeit, die es einem Angreifer ermöglicht,
die vollständige Kontrolle über den Server zu übernehmen, ist der im
Mai bekannt gewordenen, die an der Online-Schnittstelle zum Drucken
liegt, relativ ähnlich.
Sicherheitsloch in Windows 2000Weitere Abhilfe
Der Indexing Service Filter [.ida] der ISAPI-Schnittstelle verabsäumt es, Eingaben via WWW einem "Bounds Check" zu unterziehen, wodurch es möglich ist, einen so genannten "Buffer Overflow" zu provozieren, der den Server einem Angreifer vollständig ausliefert.
eEye Security, die bereits die Angriffsmöglichkeit auf die Druckschnittstelle veröffentlicht hatten, reklamiert die Entdeckung des Bugs für sich und empfiehlt, den .ida ISAPI Filter - falls nicht benötigt - einfach zu deaktivieren.