WebDAV erlaubt das Ausführen von Code

Extrem gefährliche Lücke im WebDAV-Modul von IIS 6.0

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

Der IIS 6.0 in Windows Server 2003 R2 enthält eine hochkritische Lücke im WebDAV-Modul.
Der IIS 6.0 in Windows Server 2003 R2 enthält eine hochkritische Lücke im WebDAV-Modul. (Bild: pixabay / CC0)

Unternehmen, die noch immer einen IIS 6.0 auf Windows Server 2003 R2 betreiben, sollten auf diesem schnellstens WebDAV deaktivieren. Das WebDAV-Modul enthält eine hochkritische Schwachstelle, die sich ausnutzen lässt und einen Systemzugriff erlaubt.

Wer einen IIS 6.0 auf Windows Server 2003 R2 betreibt, sollte möglichst schnell WebDAV deaktiveren oder den Zugang zum Internet kappen. Der Sicherheitsforscher edwardz446003 hat einen Buffer Overflow in dieser Version entdeckt, bei dem sich Kriminelle alle Finger ablecken: Die Schwachstelle lässt sich relativ leicht ausnutzen, klappt aus er Ferne und ermöglicht das Ausführen von Code auf dem Zielsystem.

Was ist da passiert? Der Fehler liegt in der WebDAV-Implementierung im IIS 6.0. Über die Funktion ScStoragePathFromUrl lässt sich ein Überlauf im dazugehörigen Programmpuffer erzeugen. Dazu reicht ein langer Header, der am Beginn eine PROPFIND-Anfrage hat, die mit einem „If: <http://“ beginnt.

Lücke wird ausgenutzt, kein Update verfügbar

Die Sicherheitslücke wird bereits aktiv ausgenutzt, zahlreiche Exploits sind in freier Wildbahn unterwegs. Tatsächlich geschieht das wohl schon seit Juli oder August 2016. Microsoft hat die Lücke bereits bestätigt, allerdings steht noch kein Update bereit. Ob dieses jemals erscheinen wird, steht in den Sternen, denn die offizielle Unterstützung endete am 14.07.2015.

Die beste Gegenmaßnahme ist entsprechend solche Systeme samt IIS 6.0 schnellstmöglich abzuschalten und durch moderne Alternativen zu ersetzen. Der Einsatz veralteter Software birgt weitreichende Probleme, bekannte Schwachstellen sind nur ein Aspekt davon.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44607689 / Security-Patch-Management)