Soroush Dalili, Spezialist für Penetration Testing und Web Security, hat eine Sicherheitslücke in Microsofts Webserver IIS entdeckt. Unter Ausnutzung dieser Lücke ist es möglich, ein als Bild getarntes ASP-Skript mit beliebigem Code auf dem Webserver zur Ausführung zu bringen, wenn ein Websitebetreiber das Anschauen eines Bildes direkt nach dem Hochladen erlaubt. Das ist häufig bei Benutzerprofilbilden in Foren oder sozialen Netzwerken der Fall.
Betroffen sind alle IIS-Versionen bis einschließlich 6.0. IIS 6.0 wird mit Windows Server 2003 ausgeliefert. IIS 7.5 aus Windows Server 2008 R2 ist nicht betroffen. IIS 7.0 hat Dalili bisher nicht getestet.
Um ein ASP-Skript zur Ausführung zu bringen, muss ein Angreifer eine Datei mit einem Namen wie Bild1.asp;.jpg hochladen. Ursache für den Bug ist die unterschiedliche Art und Weise, wie IIS den Dateityp anhand der Dateiendung ermittelt. Die Windows-Entwickler scheinen sich nicht ganz einig zu sein, ob sie dazu die Regeln von Unix oder VMS anwenden sollen.
Unter Unix ist immer der letzte Punkt eines Dateinamens ausschlaggebend, so dass die Datei als JPEG-Datei zu erkennen ist. Unter VMS ist das Semikolon ein Versionskennzeichen. Alle Zeichen nach dem Semikolon gehören nicht zum eigentlichen Dateinamen. Nach VMS-Regeln handelt es sich daher um eine ASP-Datei.
Ursprünglich wollte Dave Cutler, der sowohl VMS als auch Windows NT entwickelt hatte, die VMS-Versionierung auch in Windows NT einführen. Diese Idee ist jedoch später verworfen worden. Offensichtlich existieren im Code von Windows 2003 oder IIS 6.0 noch vereinzelt Parsing-Routinen, die die VMS-Regeln zugrunde legen. Ganz korrekt werden die VMS-Regeln jedoch nicht nachgebildet. Nach dem Semikolon darf nur eine Zahl folgen, die die Versionsnummer der Datei angibt.
Websitebetreiber mit betroffenen IIS-Versionen sollten streng darauf achten, dass in Verzeichnissen, in denen Nutzer Dateien, gleich welchen Typs, hochladen können, weder Skripts noch externe Programme ausgeführt werden dürfen. Ein Fix ist bisher nicht verfügbar.
Neueste Kommentare
Noch keine Kommentare zu Sicherheitslücke in IIS erlaubt Ausführung von ASP-Code
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.