zur Frontseite
21.9.1998

Hackernews

Amigareview I

Sicherheitslücke bei MS Servern

Der Swisscom- Ueberwacher

Manipulierte Prozessoren

Microsoft 2000

Sicherheit bei Pagern

Musik für alle: MP3

Die Natel- Entschuldigung

Telefone abhören

Datendiebstahl mit IEX4

Keine 5555-Vebindung

Online Information

Was ist los mit Apple?

billiger telefonieren???

billiger Telefonieren

Störung im Videotex-Netz

MicroSoft wieder auf Systemerforschung

Der Trick mit Frames

AMD gegen Intel

Compi-Hilfe für die Züglete

MS IExplorer als Risiko

Sky - Karten

Telefonkarten

Cash Card

Redi Vision

Amigareview II

Fast Box

Amigareview I

Sicherheitslücken auf dem Microsoft Internet Information Server

Der Microsoft Internet Information Server Version 4 (MS IIS 4) von Microsoft ist nach Apache der am weitesten verbreitete Server im World Wide Web. Neben den für einen öffentlichen Zugang beabsichtigten Seiten findet man auf vielen dieser Servern auch Informationen, die eigentlich nicht jedem zugänglich sein sollten. Solche Informationen lassen sich durch eine im IIS integrierte Funktion mit einem Passwort schützen.

Erst wenn sich der Benützer mit seinem ihm zugeteilten Benutzernamen und Passwort identifiziert hat, darf er auf die entsprechenden geschützten Daten zugreifen. Ohne diese Angaben soll niemand Zugriff auf die Daten haben können. So sollte es wenigstens theoretisch sein. Jedenfalls funktioniert diese Methode mit den meisten gängigen Webbrowsern einwandfrei. Microsoft’s Internet Explorer und die Browser von Netscape brechen eine solche Transaktion auch sofort ab, wenn das Passwort nicht korrekt eingegeben wurde. Bei anderen Webbrowsern wie I Browse auf dem Amiga ist dies nicht der Fall.

Mit diesem Webbrowser wird nach mehrmaligen Abbruch oder Falscheingabe des Passwortes die an sich geschützte Seite angezeigt. Mit etwas Logik und Fingerspitzengefühl kann man sich so eine ganze Verzeichnisstruktur durchkämpfen.

Dies ist ein gravierender Fehler in der Server Software, die eigentlich mit der Übertragung der Seiten erst beginnen darf, wenn das Passwort richtig übermittelt worden ist. Offenbar sendet der Server aber bereits während der Verifizierung der Zugangsberechtigung die geschützten Daten. Gewisse Browser, wie der erwähnte I Browse auf dem Amiga, können diese Daten auslesen. Dieser Fehler kann natürlich auch von Hackern ohne Probleme ausgenützt werden. Für einen Freak ist es ein leichtes ein kleines Programm zu schreiben, dass ganze Datenblöcke von gesicherten Bereichen des Servers kopiert.

Der Administrator sieht im Ereignisprotokoll des Servers aber nur die falsche Passworteingabe. Es liegt auf der Hand, dass diese Fehlfunktion für Firmen, die vertrauliche Daten auf Ihren Servern haben, zu grossen Problemen führen kann. Deshalb können wir zur Zeit nur die Empfehlung abgeben, dass Sie keine vertraulichen Daten auf einem solchen Server der bereitstellen. Wenn Sie dies dennoch machen wollen, sollten Sie die Passwortüberprüfung nicht über die im MS IIS integrierte Funktion sondern über ein Skript in CGI oder Perl machen.

Bei unseren Tests benutzten wir Rechner, auf denen Windows NT 4.0 mit Service Pack 3 IE 4.01 und Option Pack 4 installiert ist. Zudem haben wir alle von der Microsoft empfohlenen Bugfixes installiert. Dies hat jedoch nichts genützt. Microsoft selbst war dieser Bug bis jetzt noch nicht bekannt. Uns hat man auf unsere Anregung hin jedoch versprochen die Angelegenheit zu prüfen. Sobald dort der Fehler lokalisiert ist und dieser sich effektiv als grösserer Fehler erweist, will man einen Bugfix herauszugeben.

Solche Fehler häufen sich leider immer mehr, was wohl darauf zurück zu führen ist, dass infolge des unerbittlichen Konkurrenzkampfes immer mehr gute Produkte vom Markt verschwinden. Unter diesem Druck werden auch die Erneuerungsphasen zwischen den Softwareversionen immer kleiner und die Chance, einen Fehler in einem breiteren Test zu finden, schwindet.



Bericht der Hackernews, geschrieben von Xaver Aerni (EMail)