Sicherheitslücken auf dem Microsoft Internet Information Server
Der Microsoft Internet Information Server Version 4 (MS IIS 4) von Microsoft ist nach Apache der am weitesten
verbreitete Server im World Wide Web. Neben den für einen öffentlichen Zugang beabsichtigten
Seiten findet man auf vielen dieser Servern auch Informationen, die eigentlich nicht jedem zugänglich sein sollten.
Solche Informationen lassen sich durch eine im IIS integrierte Funktion mit einem Passwort schützen.
Erst wenn sich der Benützer mit seinem ihm zugeteilten Benutzernamen und Passwort identifiziert hat, darf er auf die
entsprechenden geschützten Daten zugreifen. Ohne diese Angaben soll niemand Zugriff auf die Daten haben können.
So sollte es wenigstens theoretisch sein. Jedenfalls funktioniert diese Methode mit den meisten
gängigen Webbrowsern einwandfrei. Microsoft’s Internet Explorer und die Browser von Netscape brechen eine solche
Transaktion auch sofort ab, wenn das Passwort nicht korrekt eingegeben wurde. Bei anderen Webbrowsern
wie I Browse auf dem Amiga ist dies nicht der Fall.
Mit diesem Webbrowser wird nach mehrmaligen Abbruch oder Falscheingabe des Passwortes die an sich
geschützte Seite angezeigt. Mit etwas Logik und Fingerspitzengefühl kann man sich so eine ganze Verzeichnisstruktur
durchkämpfen.
Dies ist ein gravierender Fehler in der Server Software, die eigentlich mit der Übertragung der Seiten
erst beginnen darf, wenn das Passwort richtig übermittelt worden ist. Offenbar sendet der Server aber bereits
während der Verifizierung der Zugangsberechtigung die geschützten Daten. Gewisse Browser, wie der erwähnte I
Browse auf dem Amiga, können diese Daten auslesen. Dieser Fehler kann natürlich auch von Hackern ohne Probleme
ausgenützt werden. Für einen Freak ist es ein leichtes ein kleines Programm zu schreiben, dass ganze Datenblöcke von
gesicherten Bereichen des Servers kopiert.
Der Administrator sieht im Ereignisprotokoll des Servers aber nur die falsche Passworteingabe. Es
liegt auf der Hand, dass diese Fehlfunktion für Firmen, die vertrauliche Daten auf Ihren Servern haben, zu grossen
Problemen führen kann. Deshalb können wir zur Zeit nur die Empfehlung abgeben, dass Sie keine vertraulichen
Daten auf einem solchen Server der bereitstellen. Wenn Sie dies dennoch machen wollen, sollten Sie die
Passwortüberprüfung nicht über die im MS IIS integrierte Funktion sondern über ein Skript in CGI oder Perl machen.
Bei unseren Tests benutzten wir Rechner, auf denen Windows NT 4.0 mit Service Pack 3 IE 4.01 und Option Pack 4
installiert ist. Zudem haben wir alle von der Microsoft empfohlenen Bugfixes installiert. Dies hat jedoch nichts genützt.
Microsoft selbst war dieser Bug bis jetzt noch nicht bekannt. Uns hat man auf unsere Anregung hin jedoch versprochen die
Angelegenheit zu prüfen. Sobald dort der Fehler lokalisiert ist und dieser sich effektiv als grösserer Fehler erweist, will
man einen Bugfix herauszugeben.
Solche Fehler häufen sich leider immer mehr, was wohl darauf zurück zu führen ist, dass infolge des
unerbittlichen Konkurrenzkampfes immer mehr gute Produkte vom Markt verschwinden. Unter diesem Druck werden
auch die Erneuerungsphasen zwischen den Softwareversionen immer kleiner und die Chance, einen Fehler in
einem breiteren Test zu finden, schwindet.
|