Microsoft (Börse Frankfurt: MSF) hat einen Patch für eine Sicherheitslücke im Internet Information Server 4.0 und 5.0 veröffentlich. Der Bug erlaubt Angreifern, Daten auf dem Webserver nicht nur zu lesen, sondern auch auszuführen, ganz einfach indem sie eine spezielle URL angeben. Microsoft warnt seine Kunden im entsprechenden Security Bulletin: „Es ist wichtig, den möglichen Schaden nicht zu unterschätzen.“
Es gibt zwar noch keine Berichte darüber, dass der Bug zu Angriffszwecken verwendet wurde. Doch da der Computer-Untergrund das Sicherheitsloch vor Microsoft entdeckt hat, ist eine Attacke auf Websites unter Ausnutzung genau dieses Bugs möglich.
Oftmals werden Fehler in der Software von Tüftlern und Programmierern gefunden, die das Problem an die Herstellerfirmen weiterleiten. Manche Bugs tauchen aber auch zunächst im Computer-Untergrund auf und werden von den Crackern geheimgehalten, um sich eine ungesicherte Hintertür aufzuhalten. Es ist nicht bekannt, wie lange der Bug bereits kursiert. Er wurde aber mindestens eine Woche ganz offen im Forum einer Hacker-Site diskutiert. Wie aus den Postings hervorgeht, scheint den Teilnehmern des Austausches die Tragweite des Problems nicht bewusst gewesen zu sein.
Microsoft reagierte umgehend. Am Samstag, Sonntag und Montag waren Mitglieder des Kundenservices weltweit bei tausenden von Kunden, um den Patch unverzüglich aufzuspielen. „Wir haben ihnen gesagt ‚Rufen Sie Ihre Kunden an, machen Sie ihnen klar was auf dem Spiel steht und sehen Sie zu, dass sie ihre Systeme fixen“, sagte der Chef des Emergency Teams, Scott Culp.
Zufälligerweise hat Microsoft bereits im August einen Patch herausgegeben, der genau dieses Problem behebt. Aber laut Culp haben viele Microsoft-Kunden den Bugfix noch nicht auf den Server geladen. Culp berichtete, dass Microsoft das ganze Wochenende über die Kommunikation in den entsprechenden Hacker-Chatrooms beobachtet hatte. Doch aus den Gesprächen sei deutlich geworden, dass niemand außer einem Sicherheitsexperten mit dem Pseudonym Rain Forrest Puppy und Microsoft selbst den Fehler reproduzieren konnten. Doch Elias Levy, Administrator der Bug Traq-Mailingliste, fragte sich, wieviele das Problem nachvollziehen konnten und sich nicht mehr an der Diskussion beteiligt haben.
Kontakt: Microsoft, Tel.: 089/31760
Zwei Schwachstellen in Chrome gehören nun der Vergangenheit an. Von ihnen geht ein hohes Risiko…
Mit der zunehmenden computerbasierten und globalen Vernetzung gewinnt die digitale Souveränität an rasanter Bedeutung. Viele…
Weitere schwerwiegende Fehler stecken in Android 12 und 13. Insgesamt bringt der Mai-Patchday 29 Fixes.
IT-Sicherheit - Erkennen und Abwehren von digitalen Angriffen
Das iPhone 15 Pro Max ist das meistverkaufte Smartphone im ersten Quartal. Das Galaxy S24…
Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…