Microsoft (Börse Frankfurt: MSF) hat einen Patch für eine Sicherheitslücke im Internet Information Server 4.0 und 5.0 veröffentlich. Der Bug erlaubt Angreifern, Daten auf dem Webserver nicht nur zu lesen, sondern auch auszuführen, ganz einfach indem sie eine spezielle URL angeben. Microsoft warnt seine Kunden im entsprechenden Security Bulletin: „Es ist wichtig, den möglichen Schaden nicht zu unterschätzen.“
Es gibt zwar noch keine Berichte darüber, dass der Bug zu Angriffszwecken verwendet wurde. Doch da der Computer-Untergrund das Sicherheitsloch vor Microsoft entdeckt hat, ist eine Attacke auf Websites unter Ausnutzung genau dieses Bugs möglich.
Oftmals werden Fehler in der Software von Tüftlern und Programmierern gefunden, die das Problem an die Herstellerfirmen weiterleiten. Manche Bugs tauchen aber auch zunächst im Computer-Untergrund auf und werden von den Crackern geheimgehalten, um sich eine ungesicherte Hintertür aufzuhalten. Es ist nicht bekannt, wie lange der Bug bereits kursiert. Er wurde aber mindestens eine Woche ganz offen im Forum einer Hacker-Site diskutiert. Wie aus den Postings hervorgeht, scheint den Teilnehmern des Austausches die Tragweite des Problems nicht bewusst gewesen zu sein.
Microsoft reagierte umgehend. Am Samstag, Sonntag und Montag waren Mitglieder des Kundenservices weltweit bei tausenden von Kunden, um den Patch unverzüglich aufzuspielen. „Wir haben ihnen gesagt ‚Rufen Sie Ihre Kunden an, machen Sie ihnen klar was auf dem Spiel steht und sehen Sie zu, dass sie ihre Systeme fixen“, sagte der Chef des Emergency Teams, Scott Culp.
Zufälligerweise hat Microsoft bereits im August einen Patch herausgegeben, der genau dieses Problem behebt. Aber laut Culp haben viele Microsoft-Kunden den Bugfix noch nicht auf den Server geladen. Culp berichtete, dass Microsoft das ganze Wochenende über die Kommunikation in den entsprechenden Hacker-Chatrooms beobachtet hatte. Doch aus den Gesprächen sei deutlich geworden, dass niemand außer einem Sicherheitsexperten mit dem Pseudonym Rain Forrest Puppy und Microsoft selbst den Fehler reproduzieren konnten. Doch Elias Levy, Administrator der Bug Traq-Mailingliste, fragte sich, wieviele das Problem nachvollziehen konnten und sich nicht mehr an der Diskussion beteiligt haben.
Kontakt: Microsoft, Tel.: 089/31760
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…