DoS-Angriffe auf IIS-Webserver
Kritische Sicherheitslücke in Microsoft Internet Information Services (IIS)
April-Patch einspielen oder IIS-Caching deaktivieren
Trend Micro warnt vor Remote-Denial-of-Service-Angriffen auf eine Sicherheitslücke (MS15-034) in Webservern auf Basis der Microsoft Internet Information Services (IIS). Ohne sich authentifizieren zu müssen, könnten Angreifer aus der Ferne diese Server zum Absturz bringen (Blue Screen of Death, BSOD). Die japanische IT-Sicherheitsanbieterin Trend Micro rät daher zum schnellstmöglichen Einspielen des seit April verfügbaren Microsoft-Patches oder Deaktivieren des IIS-Cachings.
Im Standard ist in Microsoft IIS das Kernel Caching aktiviert. Dadurch werden Anfragen nach zwischengespeicherten Antworten bedient, ohne dass dafür ein Wechsel in den Benutzermodus erforderlich ist. Das steigert die Leistung, da einmal verarbeitete Informationen im Hauptspeicher des Servers vorgehalten und für andere Anfragen wiederverwendet werden können. Die Sicherheitslücke wird über den Range HTTP Header ausgenutzt. Ein Angreifer müsste dazu lediglich eine HTTP-Anfrage mit einem speziellen Range-Wert senden und könnte damit einen Overflow der Range-Variablen auf dem Server auslösen. Zwar hat Trend Micro noch keine Exploits im Cyberuntergrund gesehen, deren Entwicklung erfordert aber keinen großen Aufwand.
"Viele Betreiber von Webservern auf IIS-Basis dürften ein Problem damit haben, das Caching im Kernel-Mode zu deaktivieren, einfach weil die damit verbundenen Performance-Verluste aufgrund der Vielzahl der zu bedienenden Anfragen zu groß wären", erklärt Sicherheitsexperte Udo Schneider, Pressesprecher bei Trend Micro. "Aber auch das sofortige Einspielen des verfügbaren Patches ist wohl nur in wenigen Fällen ein Option. Schließlich sind IIS-Server in der Regel Systeme, die eine 100-prozentige Verfügbarkeit erfordern. Der Patch-Aufwand und die zeitlichen Abstände zwischen den Wartungsarbeiten sind hier sehr hoch. Unternehmen sollten deshalb über die Implementierung von Lösungen nachdenken, die Sicherheitslücken virtuell abschirmen können." (Trend Micro: ra)
Trend Micro: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Achtung: Sicherheitslücke in OpenSSL
"Heartbleed", der Programmierfehler in OpenSSL, betrifft geschätzt zwei Drittel aller Webseiten. OpenSSL schützt die Kommunikation zwischen Nutzern und Servern. Dieser Fehler macht es Hackern möglich, sensible Daten zu extrahieren, beispielsweise Nutzernamen, Passwörter und andere wichtige Informationen. Hier erfahren Sie alles über "Heartbleed" und wie Sie sich schützen können.
15.04.14 - Sicherheitslücke in OpenSSL: Versions-Upgrade und Einsatz von Forward Secrecy dringend empfohlen
15.04.14 - Die Sicherheitslücke HeartBleed lässt sich auf einfache Weise ausnützen, und es gibt bereits zahlreiche Proof-of-Concept-Tools
15.04.14 - Keine Heartbleed-Schwachstelle bei ZyXEL-UTM-Firewall-Appliances
15.04.14 - Hintergrundinformationen: Erste Zahlen zu Heartbleed bei Android
15.04.14 - McAfee zu Heartbleed: Ändern Sie Ihr Passwort nicht. Testen Sie erst !
15.04.14 - Informationen zur Heartbleed-Sicherheitslücke: Rund 1.300 Apps in Google Play betroffen
15.04.14 - "Heartbleed": In sieben Schritten Sicherheitslücke schließen
15.04.14 - Geräte von Lancom Systems nicht von "Heartbleed" betroffen
15.04.14 - Heartbleed Bug: bintec elmeg Produkte ohne Sicherheitslücke
15.04.14 - F5 mildert Auswirkungen des Heartbleed-Bug: Es besteht meist geringer oder kein Handlungsbedarf für Kunden