/ Security / Gefahr durch Exploit für Zombie-IIS

Gefahr durch Exploit für Zombie-IIS

shodan-8a59046152bf3125.png
Moritz Rosenfeld an März 28, 2017 - 2:33 pm in Security

Microsofts Internet Information Services 6.0 sind eigentlich Alteisen, für das es nicht einmal Sicherheits-Updates gibt. Trotzdem gibt es noch über 30.000 allein in Deutschland. Und die sind durch einen öffentlich bekannten Exploit akut bedroht.

Admins und auch Anwender beruhigen ihr schlechtes Gewissen beim Betrieb von Software, die der Hersteller nicht mehr mit Sicherheits-Updates versorgt, oft mit: „Das ist so alt, dafür schreibt keiner mehr Exploits.“ Wie falsch sie damit liegen, beweist ein gerade veröffentlichter Exploit für eine kritische Sicherheitslücke in Microsofts Webserve IIS 6.0.

Der WebDAV-Dienst des Microsoft Internet Information Services (IIS) 6.0 für Windows Server 2003 enthält einen Pufferüberlauf in ScStoragePathFromUrl(), der sich übers Netz ausnutzen lässt. Dafür wurde jetzt ein Exploit auf Github veröffentlicht. Er schickt dem Server einen speziell zusammengestellten Header für eine PROPFIND-Anfrage, der den Pufferüberlauf auslöst und letztlich den Taschenrechner startet. Nach Aussagen des Autors wurde diese Schwachstelle bereits im Juli/August 2016 auf diesem Weg ausgenutzt – vermutlich aber nicht mit dem Taschenrechner.

Unsterblicher Zero-Day-Exploit

IIS 6.0 war Bestandteil von Windows Server 2003 und des Small Business Server 2003 (SBS), für die Microsoft im Juli 2015 die Unterstützung eingestellt hat. Das heißt, dass diese Server auch keine Sicherheits-Updates mehr bekommen. Trotzdem registriert etwa Censys weltweit aktuell immer rund 1,5 Millionen Webserver mit IIS 6.0; allein in Deutschland sind es noch über 30.000. Vermutlich sind nicht alle davon anfällig für das aktuelle Problem

Solche Systeme mit überalteter Software sind leichte Beute und werden gerade von professionellen Angreifern gern genommen. Der Artikel „Vom Leben und Sterben der 0days“ in der nächsten c’t berichtet über eine Analyse des Exploit-Bestands eines Cyberwaffen-Dealers. In dessen Bilanz tauchten solche Exploits als „Immortals“ – also Unsterbliche auf. (ju)

Read more on: Source

Kommentare sind deaktiviert