Sicherheitslücke mit IIS 5.0 unter Windows 2000

Microsoft stellt einen Patch zur Verfügung, um eine Sicherheitslücke in Windows 2000 und WebDAV zu schließen, die sich bei aktiviertem Microsoft-Webserver ausnutzen lässt.

In Pocket speichern vorlesen Druckansicht 404 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Jürgen Kuri

Etwas Hektik scheint bei Microsoft ausgebrochen zu sein, nachdem eine Sicherheitslücke unter Windows 2000 entdeckt wurde, für die angeblich bereits Exploits existieren: An die Premier Customer von Microsoft ging am gestrigen Montag eine Vorabwarnung heraus: Danach stand ein Advisory über eine kritische Sicherheitslücke an. Das Advisory, das Microsoft dann am Abend in den USA veröffentlichte, beschreibt ein Problem im Zusammenhang mit Microsofts Webserver Internet Information Server 5.0 und WebDAV unter Windows 2000. Das vom IIS eingesetzte WebDAV weist eine Sicherheitslücke auf, die Angreifer zum Ausführen beliebigen Codes nutzen können. Gelingt dies dem Angreifer, so läuft dieser Code im Sicherheitskontext des IIS.

Web Distributed Authoring and Versioning beschreibt eine HTTP-Erweiterung zur Verwaltung und Bearbeitung von Files bei Web-Servern. Die Sicherheitslücke in WebDAV entsteht durch einen Buffer Overflow; Microsoft stuft den Fehler, der durch das Senden einer WebDAV-Anforderung an einen Web-Server mit IIS 5.0 ausgenutzt werden kann, als kritisch ein. Für etwas Unruhe sorgte unter einigen Anwendern, dass Microsoft sich in der Ankündigung des Adivsorys auf Windows 2000 allgemein bezog, zur Ausnutzung der Sicherheitslücke aber nach dem schließlich veröffentlichten Advisory auf den betroffenen Systemen der IIS 5.0 aktiv sein muss. WebDAV setzt nach Angaben von Microsoft auf den IIS, um Anforderungen an Windows 2000 weiterzuleiten beziehungsweise sie von dem System zu erhalten.

Microsoft stellt bereits einen Patch für die Sicherheitslücke bereit; zusätzlich beschreibt die Firma in dem Advisory Vorgehensweisen, um Windows-2000-Systeme auch ohne Installation des Patches gegen Angreifer zu schützen. Dazu gehören beispielsweise das Abschalten des IIS, den Betrieb des IIS ohne WebDAV und verschiedene Maßnahmen zur Absicherung von WebDAV. Microsoft empfiehlt aber, auf Windows-2000-Systemen den Patch auf jeden Fall zu installieren. Der Internet Information Server 4.0 unterstützt WebDAV nicht, daher kann die Lücke dort nicht ausgenutzt werden. Beim IIS 5.1 unter Windows XP existiert das Sicherheitsloch ebenfalls nicht. (jk)