Zero-Day-Sicherheitsloch in Microsofts Internet Information Server

Das FTP-Modul von Microsofts Internet Information Server (IIS) weist eine gravierende Sicherheitslücke auf. Betroffen sind die Versionen 5 und 6 des IIS.

Das US-CERT hat eine Warnung vor einem ernst zu nehmenden Sicherheitsloch in Microsofts IIS 5 und 6 veröffentlicht. Nach Angaben der IT-Sicherheitsorganisation liegt bereit ein Proof of Concept vor, der belegt, wie sich die Lücke für Angriffe nutzen lässt.

Die Schwachstelle ist im FTP-Modul des IIS enthalten. Laut US-CERT kann ein Angreifer eigenen Code auf IIS-Systemen ausführen. Bis Microsoft einen Patch vorlegt, empfiehlt die Organisation, den Schreibzugriff von anonymen Usern auf der FTP-Serverkomponente zu deaktivieren.

Microsoft teilte inzwischen mit, dass man die FTP-Lücke untersuche. Dem Unternehmen seien jedoch keine Fälle bekannt geworden, in denen es zu entsprechenden Angriffen auf IIS-Systeme gekommen sei.