Soroush Dalili, Spezialist für Penetration Testing und Web Security, hat eine Sicherheitslücke in Microsofts Webserver IIS entdeckt. Unter Ausnutzung dieser Lücke ist es möglich, ein als Bild getarntes ASP-Skript mit beliebigem Code auf dem Webserver zur Ausführung zu bringen, wenn ein Websitebetreiber das Anschauen eines Bildes direkt nach dem Hochladen erlaubt. Das ist häufig bei Benutzerprofilbilden in Foren oder sozialen Netzwerken der Fall.
Betroffen sind alle IIS-Versionen bis einschließlich 6.0. IIS 6.0 wird mit Windows Server 2003 ausgeliefert. IIS 7.5 aus Windows Server 2008 R2 ist nicht betroffen. IIS 7.0 hat Dalili bisher nicht getestet.
Um ein ASP-Skript zur Ausführung zu bringen, muss ein Angreifer eine Datei mit einem Namen wie Bild1.asp;.jpg hochladen. Ursache für den Bug ist die unterschiedliche Art und Weise, wie IIS den Dateityp anhand der Dateiendung ermittelt. Die Windows-Entwickler scheinen sich nicht ganz einig zu sein, ob sie dazu die Regeln von Unix oder VMS anwenden sollen.
Unter Unix ist immer der letzte Punkt eines Dateinamens ausschlaggebend, so dass die Datei als JPEG-Datei zu erkennen ist. Unter VMS ist das Semikolon ein Versionskennzeichen. Alle Zeichen nach dem Semikolon gehören nicht zum eigentlichen Dateinamen. Nach VMS-Regeln handelt es sich daher um eine ASP-Datei.
Ursprünglich wollte Dave Cutler, der sowohl VMS als auch Windows NT entwickelt hatte, die VMS-Versionierung auch in Windows NT einführen. Diese Idee ist jedoch später verworfen worden. Offensichtlich existieren im Code von Windows 2003 oder IIS 6.0 noch vereinzelt Parsing-Routinen, die die VMS-Regeln zugrunde legen. Ganz korrekt werden die VMS-Regeln jedoch nicht nachgebildet. Nach dem Semikolon darf nur eine Zahl folgen, die die Versionsnummer der Datei angibt.
Websitebetreiber mit betroffenen IIS-Versionen sollten streng darauf achten, dass in Verzeichnissen, in denen Nutzer Dateien, gleich welchen Typs, hochladen können, weder Skripts noch externe Programme ausgeführt werden dürfen. Ein Fix ist bisher nicht verfügbar.
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.