IIS 6.0-Sicherheitslücke lädt zum Missbrauch ein

Originalartikel von Virendra Bisht, Vulnerability Researcher

Microsoft Internet Information Services (IIS) 6.0 sind aufgrund einer Zero-Day Buffer Overflow-Lücke (CVE-2017-7269) angreifbar. Ein Hacker könnte mit einer speziell aufgesetzten Anfrage via PROPFIND-Methode Remote die Sicherheitslücke in der IIS WebDAV Komponente ausnützen. Das Ergebnis wäre ein Denial-of-Service-Angriff oder die Ausführung beliebigen Codes im Kontext des Nutzer, der die Anwendung ausführt. Den Sicherheitsforschern zufolge, die diese Lücke entdeckt haben, wurde sie bereits seit Juli oder August letzten Jahres ausgenützt. Auf der Grundlage des Proof-of-Concept (PoC) Codes werden weitere Cyberkriminelle bösartigen Code entwickeln.

Was ist WebDAV?

Web Distributed Authoring and Versioning (WebDAV) ist eine Erweiterung des HTTP-Protokolls, mit deren Hilfe Clients Dateien im Web bereitstellen können. WebDAV erweitert das Set der Standard HTTP-Methoden und Header, die eine HTTP-Anfrage nutzen kann. Dazu gehören COPY, LOCK, MKCOL, PROPFIND, UNLOCK etc. Die Sicherheitslücke wird über die PROPFIND-Methode und den IF Header missbraucht. Die Methode extrahiert Eigenschaften einer Ressource. Alle WebDAV-konformen Ressourcen müssen PROPFIND unterstützen. Der IF Header handhabt den State Token sowie die ETags. Weitere Einzelheiten liefert der Originalbeitrag.

Beschreibung der Sicherheitslücke

Es handelt sich um eine typische Buffer Overflow-Schwachstelle, von der Windows 2003 und IIS Version 6 betroffen sind. Die Sicherheitslücke kann mithilfe eines zu großen ‘IF’ Headers in der PROPFIND-Anfrage mit mindestens zwei HTTP-Ressourcen im Header missbraucht werden. Bei Erfolg lässt sich Remote Code ausführen, und manchmal kann ein Angriff auch zu einer DoS-Kondition führen.

Schutz und Lösungen von Trend Micro

IIS 6.0 ist Teil des Windows Server 2003, den Microsoft leider nicht länger patcht. Um das Risiko zu vermeiden, sollte der WebDAV-Service auf angreifbaren IIS 6.0-Installationen deaktiviert werden. Neuere Versionen des Windows Servers mit ebenfalls neueren IIS-Versionen sind von der Sicherheitslücke nicht betroffen.

Trend Micro Deep Security™-Kunden sollten folgende DPI-Regel anwenden.

  • 1008266 – Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow Vulnerability (CVE-2017-7269)

Trend Micro Deep Discovery Inspector schützt Kunden über die folgende DDI-Regel:

  • Rule 2357 – CVE-2017-7269-HTTP_WEBDAV_BUFFER_OVERFLOW_

TippingPoint-Kunden sind über DVToolkit CSW geschützt:

  • CSW: HTTP: WebDAV ScStoragePathFromUrl Buffer Overflow Vulnerability

Zusätzliche Informationen von Suraj Sahu und Ziv Chang.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*