Böser Bug im IIS 4.0 und 5.0

Microsoft (Börse Frankfurt: MSF) hat einen Patch für eine Sicherheitslücke im Internet Information Server 4.0 und 5.0 veröffentlich. Der Bug erlaubt Angreifern, Daten auf dem Webserver nicht nur zu lesen, sondern auch auszuführen, ganz einfach indem sie eine spezielle URL angeben. Microsoft warnt seine Kunden im entsprechenden Security Bulletin: „Es ist wichtig, den möglichen Schaden nicht zu unterschätzen.“

Es gibt zwar noch keine Berichte darüber, dass der Bug zu Angriffszwecken verwendet wurde. Doch da der Computer-Untergrund das Sicherheitsloch vor Microsoft entdeckt hat, ist eine Attacke auf Websites unter Ausnutzung genau dieses Bugs möglich.

Oftmals werden Fehler in der Software von Tüftlern und Programmierern gefunden, die das Problem an die Herstellerfirmen weiterleiten. Manche Bugs tauchen aber auch zunächst im Computer-Untergrund auf und werden von den Crackern geheimgehalten, um sich eine ungesicherte Hintertür aufzuhalten. Es ist nicht bekannt, wie lange der Bug bereits kursiert. Er wurde aber mindestens eine Woche ganz offen im Forum einer Hacker-Site diskutiert. Wie aus den Postings hervorgeht, scheint den Teilnehmern des Austausches die Tragweite des Problems nicht bewusst gewesen zu sein.

Microsoft reagierte umgehend. Am Samstag, Sonntag und Montag waren Mitglieder des Kundenservices weltweit bei tausenden von Kunden, um den Patch unverzüglich aufzuspielen. „Wir haben ihnen gesagt ‚Rufen Sie Ihre Kunden an, machen Sie ihnen klar was auf dem Spiel steht und sehen Sie zu, dass sie ihre Systeme fixen“, sagte der Chef des Emergency Teams, Scott Culp.

Zufälligerweise hat Microsoft bereits im August einen Patch herausgegeben, der genau dieses Problem behebt. Aber laut Culp haben viele Microsoft-Kunden den Bugfix noch nicht auf den Server geladen. Culp berichtete, dass Microsoft das ganze Wochenende über die Kommunikation in den entsprechenden Hacker-Chatrooms beobachtet hatte. Doch aus den Gesprächen sei deutlich geworden, dass niemand außer einem Sicherheitsexperten mit dem Pseudonym Rain Forrest Puppy und Microsoft selbst den Fehler reproduzieren konnten. Doch Elias Levy, Administrator der Bug Traq-Mailingliste, fragte sich, wieviele das Problem nachvollziehen konnten und sich nicht mehr an der Diskussion beteiligt haben.

Kontakt: Microsoft, Tel.: 089/31760

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago