Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 6.86 Schutz vor schädlichem Code auf dem IIS - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 6.86 Schutz vor schädlichem Code auf dem IIS

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Für einen Web-Server, der nur Informationen über das HTTP-Protokoll zur Verfügung stellt, ist die Bedrohung durch Computer-Viren, Würmer und Trojanische Pferde eher gering. Dennoch zeigen aktuelle Ereignisse, dass auch reine Informations-Server auf Basis von HTTP unter Ausnutzung systemspezifischer Schwachstellen mit schädlichem Code infiziert und für weitere Angriffe ausgenutzt werden können.

Ein Beispiel für eine solche Attacke ist der Computer-Virus bzw. Wurm Code Red, der seit Juli 2001 in verschiedenen Varianten auftritt. Dieser Wurm ist ein selbstreplizierendes, schädliches Programm, das sich eine Schwachstelle im Microsoft Internet Information Server zu Nutze macht, indem es einen Pufferüberlauf erzeugt. Gefährdet sind alle Computer, auf denen IIS 4.0 oder 5.0 und Index Server 2.0 (bzw. Indexing-Service bei Windows 2000) installiert sind. Dazu kommen diverse Produkte von Cisco, die mit dem IIS arbeiten.

Ein wirksamer Schutz vor Programmen, die systemspezifische Schwachstellen ausnutzen, kann nur durch zeitnahes Einspielen von Sicherheits-Patches erreicht werden. Gegen Code Red sind bei Microsoft entsprechende Patches sowohl für Windows NT als auch für Windows 2000 verfügbar (siehe http://www.microsoft.com/technet/security/bulletin/MS01-033.asp).

Um ein IIS-System auf bestehende Schwachstellen zu prüfen, werden sowohl von Microsoft wie auch von Drittherstellern verschiedene Prüfwerkzeuge und Scanner angeboten. Mit dem Tool HFCHECK.WSF von Microsoft (siehe http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24168) kann beispielsweise der aktuelle Patchstatus für Windows NT und Windows 2000 sowie die aktuellen Hotfixes für IIS 4.0 und IIS 5.0 untersucht werden. Ein spezieller Scanner für den Code Red wird von der Firma eEye Digital Security kostenlos bereit gestellt (siehe http://www.eeye.com/html/Research/Tools /codered.html).

Die Gefahr einer Virusinfektion eines Web-Servers steigt bei zusätzlich angebotenen Diensten und veränderbaren Datenbeständen. Fungiert der Web-Server z. B. auch als FTP-Server oder ist ein HTTP-Download möglich, muss natürlich sichergestellt sein, dass die angebotenen Dateien vertrauenswürdig sind und keine Viren enthalten. Zum Schutz gegen Computer-Viren werden eine Reihe von Virenschutzprogrammen angeboten. Maßgeblich für die Effektivität dieser Programme ist ihre kontinuierliche Aktualisierung, da immer neue Computer-Viren auftauchen. Weitere Hinweise hierzu finden sich im Baustein B 1.6 Computer-Viren-Schutzkonzept.

Ab IIS 4.0 wird HTTP 1.1 unterstützt, so dass ein Upload von Dateien mit der HTTP-Methode PUT unter Verwendung eines kompatiblen Browsers möglich ist. Durch die Möglichkeit von Uploads auf einem Web-Server ensteht eine weitere Gefahr, dass schädlicher Code in das System eingebracht wird. Um das Risiko für Uploads auf den IIS zu minimieren, sollten folgende Empfehlungen beachtet werden:

Ergänzende Kontrollfragen: