Soroush Dalili, Spezialist für Penetration Testing und Web Security, hat eine Sicherheitslücke in Microsofts Webserver IIS entdeckt. Unter Ausnutzung dieser Lücke ist es möglich, ein als Bild getarntes ASP-Skript mit beliebigem Code auf dem Webserver zur Ausführung zu bringen, wenn ein Websitebetreiber das Anschauen eines Bildes direkt nach dem Hochladen erlaubt. Das ist häufig bei Benutzerprofilbilden in Foren oder sozialen Netzwerken der Fall.
Betroffen sind alle IIS-Versionen bis einschließlich 6.0. IIS 6.0 wird mit Windows Server 2003 ausgeliefert. IIS 7.5 aus Windows Server 2008 R2 ist nicht betroffen. IIS 7.0 hat Dalili bisher nicht getestet.
Um ein ASP-Skript zur Ausführung zu bringen, muss ein Angreifer eine Datei mit einem Namen wie Bild1.asp;.jpg hochladen. Ursache für den Bug ist die unterschiedliche Art und Weise, wie IIS den Dateityp anhand der Dateiendung ermittelt. Die Windows-Entwickler scheinen sich nicht ganz einig zu sein, ob sie dazu die Regeln von Unix oder VMS anwenden sollen.
Unter Unix ist immer der letzte Punkt eines Dateinamens ausschlaggebend, so dass die Datei als JPEG-Datei zu erkennen ist. Unter VMS ist das Semikolon ein Versionskennzeichen. Alle Zeichen nach dem Semikolon gehören nicht zum eigentlichen Dateinamen. Nach VMS-Regeln handelt es sich daher um eine ASP-Datei.
Ursprünglich wollte Dave Cutler, der sowohl VMS als auch Windows NT entwickelt hatte, die VMS-Versionierung auch in Windows NT einführen. Diese Idee ist jedoch später verworfen worden. Offensichtlich existieren im Code von Windows 2003 oder IIS 6.0 noch vereinzelt Parsing-Routinen, die die VMS-Regeln zugrunde legen. Ganz korrekt werden die VMS-Regeln jedoch nicht nachgebildet. Nach dem Semikolon darf nur eine Zahl folgen, die die Versionsnummer der Datei angibt.
Websitebetreiber mit betroffenen IIS-Versionen sollten streng darauf achten, dass in Verzeichnissen, in denen Nutzer Dateien, gleich welchen Typs, hochladen können, weder Skripts noch externe Programme ausgeführt werden dürfen. Ein Fix ist bisher nicht verfügbar.
Nutzung einer unternehmenseigenen GPT-Umgebung für sicheren und datenschutzkonformen Zugriff.
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…
Der Nettoprofi wächst um 117 Prozent. Auch beim Umsatz erzielt die Facebook-Mutter ein deutliches Plus.…
Vom Standpunkt eines Verbrauchers aus betrachtet, stellt sich die Frage: Wie relevant und persönlich sind…