Friendoffriends
Microsoft ist möglicherweise nicht in der Lage, eine Zero-Day-Sicherheitsanfälligkeit in einer älteren Version seines Internet Information Services-Webservers zu beheben, auf die Angreifer im Juli und August letzten Jahres abzielten. Mit dem Exploit können Angreifer schädlichen Code auf Windows-Servern ausführen, auf denen IIS 6.0 ausgeführt wird, während Benutzerrechte die Anwendung ausführen. Ein Proof-of-Concept-Exploit für die Sicherheitsanfälligkeit in IIS 6.0 kann jetzt auf GitHub angezeigt werden. IIS 6.0 wird zwar nicht mehr unterstützt, wird aber auch heute noch häufig verwendet. Die Unterstützung für diese Version von IIS wurde im Juli letzten Jahres eingestellt, ebenso wie die Unterstützung für Windows Server 2003, das übergeordnete Produkt.
Die Nachrichten geben Sicherheitsfachleuten Anlass zur Sorge, da Webserver-Umfragen zeigen, dass IIS 6.0 immer noch von Millionen öffentlicher Websites verwendet wird. Es ist auch möglich, dass eine große Anzahl von Unternehmen noch Webanwendungen unter Windows Server 2003 und IIS 6.0 in ihrer Organisation ausführen. Angreifer könnten den Fehler daher nutzen, um seitliche Bewegungen auszuführen, wenn sie Zugang zu Unternehmensnetzwerken erhalten.
Vor der Veröffentlichung auf GitHub waren sich bis vor kurzem nur wenige Angreifer der Sicherheitsanfälligkeit bewusst. Nun gibt es Hinweise darauf, dass viele Angreifer jetzt Zugriff auf den nicht gepatchten Fehler haben. Der Sicherheitsanbieter Trend Micro bietet die folgende Erklärung für die Sicherheitsanfälligkeit:
Ein entfernter Angreifer kann diese Sicherheitsanfälligkeit in der IIS-WebDAV-Komponente mit einer gestalteten Anforderung unter Verwendung der PROPFIND-Methode ausnutzen. Eine erfolgreiche Ausnutzung kann zu einer Denial-of-Service-Bedingung oder einer beliebigen Codeausführung im Kontext des Benutzers führen, der die Anwendung ausführt. Laut den Forschern, die diesen Fehler gefunden haben, wurde diese Sicherheitsanfälligkeit im Juli oder August 2016 in freier Wildbahn ausgenutzt. Sie wurde am 27. März der Öffentlichkeit bekannt gegeben. Andere Bedrohungsakteure sind derzeit dabei, bösartigen Code auf der Grundlage des ursprünglichen Beweises zu erstellen. PoC-Code (of-concept).
Trend Micro stellte fest, dass WebDAV (Web Distributed Authoring and Versioning) eine Erweiterung des Standardprotokolls für die Hypertextübertragung ist, mit der Benutzer Dokumente auf einem Server erstellen, ändern und verschieben können. Die Erweiterung bietet Unterstützung für verschiedene Anforderungsmethoden wie PROPFIND. Das Unternehmen empfiehlt, den WebDAV-Dienst in IIS 6.0-Installationen zu deaktivieren, um das Problem zu beheben.
- IIS 6-Webserver
- Microsoft
