G 5.108 Ausnutzen von systemspezifischen Schwachstellen des IIS
Wie bei fast jeder Software zeigen sich viele kleinere Programmier- und Entwicklungsfehler erst im praktischen Einsatz. Auch bei Windows und beim IIS werden immer wieder systemspezifische Schwachstellen entdeckt, die auf Programmier- und Entwicklungsfehler zurückzuführen sind. Unter bestimmten Voraussetzungen wird z. B. ein Buffer-Overflow verursacht. Insbesondere beim Zusammenwirken mit anderen Sofware-Komponenten besteht die Gefahr, dass Parameter ungenügend geprüft werden und die Funktionsweise des System beeinflussen können.
Sicherheitsrisiken entstehen nicht nur durch Programmier- und Entwicklungsfehler, auch vorhandene Beispielanwendungen und Scriptdateien können für einen Angriff auf das System ausgenutzt werden.
Bei der Standardinstallation eines IIS wird eine Reihe von Beispielanwendungen und Scriptdateien mit installiert. Diese Beispiele zeigen dem Administrator bzw. Entwickler Anwendungsmöglichkeiten des Web-Servers auf oder dienen als Vorlage für erweiterte Funktionen, z. B. Suchfunktionen. Viele Administratoren und Entwickler haben keine Kenntnisse über den vollständigen Funktionsumfang und ggf. die Existenz solcher Beispielanwendungen. Da diese Anwendungen und Scriptdateien u. U. von einem Angreifer ausgenutzt werden können, geht von ihnen eine erhebliche Gefahr für das Informationssystem aus.
Beispiele:
- Mit Hilfe so genannter Escape-Sequenzen in URLs kann eine DoS-Attacke (Denial-of-Service) auf den IIS durchgeführt werden. Escape-Sequenzen bieten die Möglichkeit, nicht druckbare Zeichen oder Sonderzeichen einzufügen. Diese Sequenzen bestehen aus einem Escape-Character, z. B. "%", und zwei hexadezimalen Ziffern. Auf dem Zielsystem werden diese Zeichen in den entsprechenden ASCII-Code umgesetzt. Beispielsweise wird der Zeichenfolge %20 ein Leerzeichen (Blank, Space) zugeordnet.
- Werden sehr viele Escape-Sequenzen in einer URL verwendet, kann dies bei der Umsetzung zu einer vollständigen Auslastung des Prozessors führen, wodurch der IIS z. B. keine regulären Anfragen mehr beantworten kann. Ein Beispiel hierfür zeigt der Microsoft Security Bulletin MS00-023 (http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/fq00-023.asp).
- Im Umfang der Standardinstallation eines IIS 4.0 ist eine Anwendung enthalten, die es einem Web-Benutzer erlaubt, das Passwort eines Benutzerkontos auf dem Web-Server zu ändern. Jeder Benutzer, der Zugriff auf diese Seite hat (über HTTP), kann darüber gültige Benutzerkonten auf dem Server herausfinden. Da die Rückmeldungen des Web-Servers Auskunft über getestete Benutzerkonten geben, kann diese Schnittstelle für eine Brute-Force-Attacke auf die Konten ausgenutzt werden.
- Durch eine Schwachstelle in der Web-Seite showcode.asp sind Internet-Benutzer in der Lage, sich Dateien vom Web-Server anzeigen zu lassen. Wenn nicht sichergestellt ist, dass ein Ausbrechen aus dem Webroot-Verzeichnis mit Hilfe der Zeichenfolge /../ ausgeschlossen ist, können mit diesem Script auch Dateien aus anderen Verzeichnissen, z. B. WINNT, ausgelesen werden.