Suchen

WebDAV erlaubt das Ausführen von Code Extrem gefährliche Lücke im WebDAV-Modul von IIS 6.0

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

Unternehmen, die noch immer einen IIS 6.0 auf Windows Server 2003 R2 betreiben, sollten auf diesem schnellstens WebDAV deaktivieren. Das WebDAV-Modul enthält eine hochkritische Schwachstelle, die sich ausnutzen lässt und einen Systemzugriff erlaubt.

Der IIS 6.0 in Windows Server 2003 R2 enthält eine hochkritische Lücke im WebDAV-Modul.
Der IIS 6.0 in Windows Server 2003 R2 enthält eine hochkritische Lücke im WebDAV-Modul.
(Bild: pixabay / CC0 )

Wer einen IIS 6.0 auf Windows Server 2003 R2 betreibt, sollte möglichst schnell WebDAV deaktiveren oder den Zugang zum Internet kappen. Der Sicherheitsforscher edwardz446003 hat einen Buffer Overflow in dieser Version entdeckt, bei dem sich Kriminelle alle Finger ablecken: Die Schwachstelle lässt sich relativ leicht ausnutzen, klappt aus er Ferne und ermöglicht das Ausführen von Code auf dem Zielsystem.

Was ist da passiert? Der Fehler liegt in der WebDAV-Implementierung im IIS 6.0. Über die Funktion ScStoragePathFromUrl lässt sich ein Überlauf im dazugehörigen Programmpuffer erzeugen. Dazu reicht ein langer Header, der am Beginn eine PROPFIND-Anfrage hat, die mit einem „If: <http://“ beginnt.

Lücke wird ausgenutzt, kein Update verfügbar

Die Sicherheitslücke wird bereits aktiv ausgenutzt, zahlreiche Exploits sind in freier Wildbahn unterwegs. Tatsächlich geschieht das wohl schon seit Juli oder August 2016. Microsoft hat die Lücke bereits bestätigt, allerdings steht noch kein Update bereit. Ob dieses jemals erscheinen wird, steht in den Sternen, denn die offizielle Unterstützung endete am 14.07.2015.

Die beste Gegenmaßnahme ist entsprechend solche Systeme samt IIS 6.0 schnellstmöglich abzuschalten und durch moderne Alternativen zu ersetzen. Der Einsatz veralteter Software birgt weitreichende Probleme, bekannte Schwachstellen sind nur ein Aspekt davon.

(ID:44607689)

Über den Autor

 Moritz Jäger

Moritz Jäger

IT Journalist