Warnung: Zero-Day-Lücke im Microsoft IIS
Wie das US-CERT mitteilt, wurde in Microsofts Internet Information Server (IIS) in den Versionen 5 und 6 eine gravierende Lücke entdeckt. Da noch kein Patch vorliegt, wird ISS-Nutzern empfohlen, vorerst den Schreibzugriff von anonymen Usern auf der FTP-Serverkomponente zu deaktivieren.
Das United States Computer Emergency Readiness Team (US-CERT) warnt vor einer gravierenden Sicherheitslücke in Microsofts Internet Information Server (IIS) der Versionen IIS 5 und 6. Demnach liegt auch bereits ein Proof of Concept vor, der im Einzelnen belegt, wie sich die Lücke für Attacken ausnutzen lässt. Laut CERT liegt die Schwachstelle im FTP-Modul des IIS und erlaubt es Angreifern, eigenen Code auf den IIS-Systemen auszuführen. Da bisher noch kein Patch von Microsoft zur Verfügung steht, empfiehlt das CERT, der Schreibzugriff anonymer User auf der FTP-Serverkomponente zu deaktivieren, bis die Lücke geschlossen werden kann.
Die Schwachstelle ist im FTP-Modul des IIS enthalten. Laut US-CERT kann ein Angreifer eigenen Code auf IIS-Systemen ausführen. Bis Microsoft einen Patch vorlegt, empfiehlt die Organisation, den Schreibzugriff von anonymen Usern auf der FTP-Serverkomponente zu deaktivieren. Wie Microsoft mitteilte, untersuche man die Lücke bereits eingehend. Bisher sei jedoch kein Fall bekannt geworden, in dem entsprechende Angriffe durchgeführt oder versucht wurden.
