Sicherheitslücken auf dem Microsoft Internet Information Server

Der Microsoft Internet Information Server Version 4 (MS IIS 4) von Microsoft ist nach Apache einer der am weitesten verbreiteten Server im  World Wide Web. Neben den für einen öffentlichen Zugang beabsichtigten Seiten findet man auf vielen dieser Servern  auch Informationen die  eigentlich nicht jedem zugänglich gemacht werden sollten. Solche Informationen lassen sich durch eine im IIS integrierte Funktion mit einem Passwort schützen. Erst wenn sich der Benützer mit seinem ihm zugeteilten Benutzernamen und Passwort identifiziert hat, darf er auf die entsprechenden geschützten Daten zugreifen. Ohne diese Angaben soll niemand Zugriff auf die Daten haben können. So sollte es wenigstens theoretisch sein. Jedenfalls funktioniert diese Methode mit den meisten gängigen Webbrowsern einwandfrei. Microsoft’s Internet Explorer und die Browser von Netscape brechen eine solche Transaktion auch sofort ab, wenn das Passwort nicht korrekt eingegeben wurde. Bei anderen Webbrowsern wie I Browse auf dem Amiga ist dies zum Beispiel nicht der Fall.

Bei diesem Webbrowser wird nach mehrmaligen Abbruch oder Falscheingabe des Passwortes die an sich geschützte Seite angezeigt. Mit etwas Logik und Fingerspitzengefühl kann man sich so eine ganze Verzeichnisstruktur durchkämpfen.

Dies ist ein gravierender Fehler in der Server Software die eigentlich mit der Übertragung der Seiten erst beginnen darf, wenn das Passwort richtig übermittelt worden ist. Offenbar  sendet der Server aber bereits während der Verifizierung der Zugangsberechtigung die geschützten Daten. Gewisse Browser, wie der erwähnte I Browse auf dem
Amiga,  können diese Daten auslesen. Dieser Fehler kann natürlich auch von Hackern ohne Probleme ausgenützt werden.

Für einen Freak ist es ein leichtes ein kleines Programm zu schreiben, dass ganze Datenblöcke von gesicherten Bereichen des Servers kopiert.

Der Administrator sieht im Ereignissprotokoll des Servers aber nur die falsche Passworteingabe. Es liegt auf der Hand, dass diese Fehlfunktion für Firmen, die vertrauliche Daten auf Ihren Servern haben, zu grossen Problemen führen kann. Deshalb können wir zur Zeit nur die Empfehlung abgeben, dass Sie keine vertraulichen Daten auf einem solchen Server der bereitstellen. Wenn Sie dies dennoch machen wollen, sollten Sie die Passwortüberprüfung nicht über die im MS IIS integrierte Funktion sondern über ein Skript in CGI oder Perl machen. Bei unseren Tests benutzten wir Rechner, auf denen Windows NT 4.0 mit Service Pack 3 IE 4.01 und Option Pack 4 installiert ist. Zudem haben wir alle von der Microsoft empfohlenen Bugfixes installiert. Dies hat jedoch nichts genützt. Microsoft selbst war dieser Bug bis jetzt noch nicht bekannt. Uns hat man auf unsere Anregung hin  jedoch versprochen die Angelegenheit zu prüfen. Sobald dort der Fehler lokalisiert ist und dieser sich effektiv als grösserer Fehler erweist, will man einen
Bugfix herauszugeben.

Solche Fehler häufen sich leider immer mehr, was wohl darauf zurück zu führen ist, dass infolge des unerbittlichen Konkurrenzkampfes immer mehr gute Produkte vom Markt verschwinden. Unter diesem Druck werden auch die Erneuerungsphasen zwischen den Softwareversionen immer kleiner und die Chance, einen Fehler in einem breiteren Test
zu finden, schwindet. 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.