Soroush Dalili, Spezialist für Penetration Testing und Web Security, hat eine Sicherheitslücke in Microsofts Webserver IIS entdeckt. Unter Ausnutzung dieser Lücke ist es möglich, ein als Bild getarntes ASP-Skript mit beliebigem Code auf dem Webserver zur Ausführung zu bringen, wenn ein Websitebetreiber das Anschauen eines Bildes direkt nach dem Hochladen erlaubt. Das ist häufig bei Benutzerprofilbilden in Foren oder sozialen Netzwerken der Fall.
Betroffen sind alle IIS-Versionen bis einschließlich 6.0. IIS 6.0 wird mit Windows Server 2003 ausgeliefert. IIS 7.5 aus Windows Server 2008 R2 ist nicht betroffen. IIS 7.0 hat Dalili bisher nicht getestet.
Um ein ASP-Skript zur Ausführung zu bringen, muss ein Angreifer eine Datei mit einem Namen wie Bild1.asp;.jpg hochladen. Ursache für den Bug ist die unterschiedliche Art und Weise, wie IIS den Dateityp anhand der Dateiendung ermittelt. Die Windows-Entwickler scheinen sich nicht ganz einig zu sein, ob sie dazu die Regeln von Unix oder VMS anwenden sollen.
Unter Unix ist immer der letzte Punkt eines Dateinamens ausschlaggebend, so dass die Datei als JPEG-Datei zu erkennen ist. Unter VMS ist das Semikolon ein Versionskennzeichen. Alle Zeichen nach dem Semikolon gehören nicht zum eigentlichen Dateinamen. Nach VMS-Regeln handelt es sich daher um eine ASP-Datei.
Ursprünglich wollte Dave Cutler, der sowohl VMS als auch Windows NT entwickelt hatte, die VMS-Versionierung auch in Windows NT einführen. Diese Idee ist jedoch später verworfen worden. Offensichtlich existieren im Code von Windows 2003 oder IIS 6.0 noch vereinzelt Parsing-Routinen, die die VMS-Regeln zugrunde legen. Ganz korrekt werden die VMS-Regeln jedoch nicht nachgebildet. Nach dem Semikolon darf nur eine Zahl folgen, die die Versionsnummer der Datei angibt.
Websitebetreiber mit betroffenen IIS-Versionen sollten streng darauf achten, dass in Verzeichnissen, in denen Nutzer Dateien, gleich welchen Typs, hochladen können, weder Skripts noch externe Programme ausgeführt werden dürfen. Ein Fix ist bisher nicht verfügbar.
Er treibt das neue iPad Pro mit OLED-Display an. Apple verspricht eine deutliche Leistungssteigerung gegenüber…
Davon entfällt ein Viertel auf staatliche Einrichtungen und 12 Prozent auf Industrieunternehmen.
Forscher umgehen die Verschlüsselung und erhalten Zugriff auf VPN-Datenverkehr im Klartext. Für ihren Angriff benötigen…
Weitere 40 Prozent der Deutschen erledigen ihre Geldgeschäfte überwiegend online und gehen nur noch selten…
Zwei Schwachstellen in Chrome gehören nun der Vergangenheit an. Von ihnen geht ein hohes Risiko…
Mit der zunehmenden computerbasierten und globalen Vernetzung gewinnt die digitale Souveränität an rasanter Bedeutung. Viele…