Microsoft (Börse Frankfurt: MSF) hat dementiert, dass die am Freitag bekannt gewordene Hintertür im Internet Information Server (IIS) die Relevanz hätte, die ihre Entdecker ihr beimessen. Zwar wiederspricht die Firma dem Bericht nicht, sagt aber gleichzeitig, dass es nur eine „wirklich ganz minimale Schwachstelle“ gäbe.
Der Herausgeber einer Site über Microsoft-Software, Russ Cooper, sagte dagegen: „Es ist ein Sicherheitsloch, das es anderen erlaubt, Inhalte von Websites zu verändern. Allerdings nur, wenn die betreffenden Personen bereits die Berechtigung haben, andere Homepages auf dem jeweiligen Server editieren dürfen.“ Er empfahl Internet Service Providern (ISPs) die Schwachstelle schnell zu beseitigen.
Das Sicherheitsloch besteht in einer Dynamic Link Library, der „dvwssr.dll“. Diese ermöglicht den Zugang zu den Acitve Server Pages (ASPs) und Applikationen einer Site. Die Datei unterstützt Visual Interdev 1.0, mit dem sich interaktive Links zurückverfolgen lassen. Diese Funktion ist zwar nicht häufig im Einsatz, trotzdem wird die .dll-File bei der Grundeinstellung des IIS mit installiert, weshalb sie weit verbreitet ist.
Der Manager des Microsoft Security Response Centers, Steve Lipner, sagte, dass die Hintertür „die Schranken zwischen den Accounts eines gemeinsam benutzten Servers einreißt.“ Er schränkt jedoch ein: „Aber Sie können keine Daten einsehen, für die Sie nicht die nötige Berechtigung haben.“ Lipner, der das geheime Passwort bekannt machte, bezeichnete die ursprünglichen Medienberichte über das Sicherheitsloch als reichlich überzogen.
Kontakt:
Microsoft, Tel.: 089/31760
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…