Microsoft IIS lässt Angreifer auf Webserver

Die Internet Information Services von Microsoft (IIS) haben eine Sicherheitslücke, mit der sich Angreifer aus dem Internet Zutritt zu Microsoft-Webservern verschaffen können. Wie Secunia berichtet, liegt der Fehler in der Ausführung von ASP Code in Dateien mit mehreren Endungen, von denen nur eine die .asp-Endung besitzt und die durch Strichpunkte getrennt werden. Wer die Lücke ausnutzt, kann schädlichen ASP-Code auf den Webserver hochladen und ausführen.

Uneinigkeit besteht unter den Sicherheitsexperten darüber, wie gefährlich die Sicherheitslücke ist. Sie ist ungepatcht und wurde auf einem Server mit Windows 2003 R2 SP2 und IIS in Version 6 nachgewiesen - einem Server also, dessen Betriebssystem auf dem aktuellen Stand ist. Dennoch stuft Secunia die Schwachstelle als weniger kritisch ein. Nach Angaben von Heise Security geht das Internet Storm Center hingegen davon aus, dass Kriminelle die Lücke bald gezielt ausnutzen werden, um unter anderem in private Netzwerke einzubrechen und dort beispielsweise Bankdaten zu stehlen. Webmaster sollten es daher nicht zulassen, dass Code in ihren Upload-Verzeichnissen ausgeführt wird, solange Microsoft das Problem nicht behoben hat.