WebDAV erlaubt das Ausführen von Code

Extrem gefährliche Lücke im WebDAV-Modul von IIS 6.0

Unternehmen, die noch immer einen IIS 6.0 auf Windows Server 2003 R2 betreiben, sollten auf diesem schnellstens WebDAV deaktivieren. Das WebDAV-Modul enthält eine hochkritische Schwachstelle, die sich ausnutzen lässt und einen Systemzugriff erlaubt.

Wer einen IIS 6.0 auf Windows Server 2003 R2 betreibt, sollte möglichst schnell WebDAV deaktivieren oder den Zugang zum Internet kappen. Der Sicherheitsforscher edwardz446003 hat einen Buffer Overflow in dieser Version entdeckt, bei dem sich Kriminelle alle Finger ablecken: Die Schwachstelle lässt sich relativ leicht ausnutzen, klappt aus er Ferne und ermöglicht das Ausführen von Code auf dem Zielsystem.

Was ist da passiert? Der Fehler liegt in der WebDAV-Implementierung im IIS 6.0. Über die Funktion ScStoragePathFromUrl lässt sich ein Überlauf im dazugehörigen Programmpuffer erzeugen. Dazu reicht ein langer Header, der am Beginn eine PROPFIND-Anfrage hat, die mit einem „If: <http://“ beginnt.

Lücke wird ausgenutzt, kein Update verfügbar

Die Sicherheitslücke wird bereits aktiv ausgenutzt, zahlreiche Exploits sind in freier Wildbahn unterwegs. Tatsächlich geschieht das wohl schon seit Juli oder August 2016. Microsoft hat die Lücke bereits bestätigt, allerdings steht noch kein Update bereit. Ob dieses jemals erscheinen wird, steht in den Sternen, denn die offizielle Unterstützung endete am 14.07.2015.

Die beste Gegenmaßnahme ist entsprechend solche Systeme samt IIS 6.0 schnellstmöglich abzuschalten und durch moderne Alternativen zu ersetzen. Der Einsatz veralteter Software birgt weitreichende Probleme, bekannte Schwachstellen sind nur ein Aspekt davon.

Autor: Moritz Jäger

(c)2017 Vogel Business Media

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Business Media. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.