Sicherheitslücke in IIS erlaubt Ausführung von ASP-Code

Soroush Dalili, Spezialist für Penetration Testing und Web Security, hat eine Sicherheitslücke in Microsofts Webserver IIS entdeckt. Unter Ausnutzung dieser Lücke ist es möglich, ein als Bild getarntes ASP-Skript mit beliebigem Code auf dem Webserver zur Ausführung zu bringen, wenn ein Websitebetreiber das Anschauen eines Bildes direkt nach dem Hochladen erlaubt. Das ist häufig bei Benutzerprofilbilden in Foren oder sozialen Netzwerken der Fall.

Betroffen sind alle IIS-Versionen bis einschließlich 6.0. IIS 6.0 wird mit Windows Server 2003 ausgeliefert. IIS 7.5 aus Windows Server 2008 R2 ist nicht betroffen. IIS 7.0 hat Dalili bisher nicht getestet.

Um ein ASP-Skript zur Ausführung zu bringen, muss ein Angreifer eine Datei mit einem Namen wie Bild1.asp;.jpg hochladen. Ursache für den Bug ist die unterschiedliche Art und Weise, wie IIS den Dateityp anhand der Dateiendung ermittelt. Die Windows-Entwickler scheinen sich nicht ganz einig zu sein, ob sie dazu die Regeln von Unix oder VMS anwenden sollen.

Unter Unix ist immer der letzte Punkt eines Dateinamens ausschlaggebend, so dass die Datei als JPEG-Datei zu erkennen ist. Unter VMS ist das Semikolon ein Versionskennzeichen. Alle Zeichen nach dem Semikolon gehören nicht zum eigentlichen Dateinamen. Nach VMS-Regeln handelt es sich daher um eine ASP-Datei.

Ursprünglich wollte Dave Cutler, der sowohl VMS als auch Windows NT entwickelt hatte, die VMS-Versionierung auch in Windows NT einführen. Diese Idee ist jedoch später verworfen worden. Offensichtlich existieren im Code von Windows 2003 oder IIS 6.0 noch vereinzelt Parsing-Routinen, die die VMS-Regeln zugrunde legen. Ganz korrekt werden die VMS-Regeln jedoch nicht nachgebildet. Nach dem Semikolon darf nur eine Zahl folgen, die die Versionsnummer der Datei angibt.

Websitebetreiber mit betroffenen IIS-Versionen sollten streng darauf achten, dass in Verzeichnissen, in denen Nutzer Dateien, gleich welchen Typs, hochladen können, weder Skripts noch externe Programme ausgeführt werden dürfen. Ein Fix ist bisher nicht verfügbar.

ZDNet.de Redaktion

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

13 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

15 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

15 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

19 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

19 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

19 Stunden ago