Böser Bug im IIS 4.0 und 5.0

Microsoft (Börse Frankfurt: MSF) hat einen Patch für eine Sicherheitslücke im Internet Information Server 4.0 und 5.0 veröffentlich. Der Bug erlaubt Angreifern, Daten auf dem Webserver nicht nur zu lesen, sondern auch auszuführen, ganz einfach indem sie eine spezielle URL angeben. Microsoft warnt seine Kunden im entsprechenden Security Bulletin: „Es ist wichtig, den möglichen Schaden nicht zu unterschätzen.“

Es gibt zwar noch keine Berichte darüber, dass der Bug zu Angriffszwecken verwendet wurde. Doch da der Computer-Untergrund das Sicherheitsloch vor Microsoft entdeckt hat, ist eine Attacke auf Websites unter Ausnutzung genau dieses Bugs möglich.

Oftmals werden Fehler in der Software von Tüftlern und Programmierern gefunden, die das Problem an die Herstellerfirmen weiterleiten. Manche Bugs tauchen aber auch zunächst im Computer-Untergrund auf und werden von den Crackern geheimgehalten, um sich eine ungesicherte Hintertür aufzuhalten. Es ist nicht bekannt, wie lange der Bug bereits kursiert. Er wurde aber mindestens eine Woche ganz offen im Forum einer Hacker-Site diskutiert. Wie aus den Postings hervorgeht, scheint den Teilnehmern des Austausches die Tragweite des Problems nicht bewusst gewesen zu sein.

Microsoft reagierte umgehend. Am Samstag, Sonntag und Montag waren Mitglieder des Kundenservices weltweit bei tausenden von Kunden, um den Patch unverzüglich aufzuspielen. „Wir haben ihnen gesagt ‚Rufen Sie Ihre Kunden an, machen Sie ihnen klar was auf dem Spiel steht und sehen Sie zu, dass sie ihre Systeme fixen“, sagte der Chef des Emergency Teams, Scott Culp.

Zufälligerweise hat Microsoft bereits im August einen Patch herausgegeben, der genau dieses Problem behebt. Aber laut Culp haben viele Microsoft-Kunden den Bugfix noch nicht auf den Server geladen. Culp berichtete, dass Microsoft das ganze Wochenende über die Kommunikation in den entsprechenden Hacker-Chatrooms beobachtet hatte. Doch aus den Gesprächen sei deutlich geworden, dass niemand außer einem Sicherheitsexperten mit dem Pseudonym Rain Forrest Puppy und Microsoft selbst den Fehler reproduzieren konnten. Doch Elias Levy, Administrator der Bug Traq-Mailingliste, fragte sich, wieviele das Problem nachvollziehen konnten und sich nicht mehr an der Diskussion beteiligt haben.

Kontakt: Microsoft, Tel.: 089/31760