Semikolon-Angriff: Sicherheitsproblem in Microsofts IIS 6.0

Nachdem Microsoft am 23. Dezember über eine mutmaßliche Sicherheitslücke in den Internet Information Services (IIS) informiert wurde, bestätigte der Konzern das Problem nun öffentlich.

Das Problem entsteht durch eine inkonsistente Behandlung von Dateiendungen, wenn ein Semikolon mehrere Dateiendungen beim Aufruf trennt. Durch den sogenannten Semikolon-Angriff wird über den Aufruf der Datei "boeseDatei.asp;.jpg" die Datei "boeseDatei.jpg" geöffnet und als ASP-Datei ausgeführt. So können Angreifer eigenen Code als Bilder getarnt auf den Web-Server hochladen und ausführen. Inhaltsfilter werden somit umgangen.

Allerdings weist Microsoft direkt darauf hin, dass das Problem nur durch einen authentifizierten Benutzer hervorgerufen werden kann, der obendrein Schreib- und Ausführungsrechte für ein über die IIS verfügbares Verzeichnis besitzt. In der Standardkonfiguration der IIS ist dies nicht der Fall. Außerdem ist nach bisherigen Erkenntnissen nur die IIS-Version 6.0 betroffen.

Wenn Sie die IIS in Version 6.0 einsetzen, sollten Sie die Verzeichnisrechte prüfen und möglichst dafür sorgen, dass Ihre Nutzer nicht gleichzeitig für dasselbe Verzeichnis Schreib- und Ausführungsberechtigungen besitzen. So können selbst hochgeladene Dateien gar nicht erst ausgeführt werden.