Neues Loch in Windows Server

BetriebssystemEnterpriseProjekteSicherheitSoftwareSoftware-HerstellerWorkspace

Microsoft hat auf eine neu entdeckte Lücke im Windows Server hingewiesen. Das Loch steckt in den Internet Informationen Services (IIS), betroffen sind die Versionen 5.0, 5.1 und 6.0. Angreifer können sich über manipulierte HTTP-Anfragen Zugang zu Passwort-geschützten Verzeichnissen verschaffen.

Aufgrund der Art und Weise, wie die WebDAV-Erweiterung für die IIS HTTP-Anfragen behandelt, könnte ein Angreifer mit Hilfe einer speziell manipulierten Anfrage Zugriff auf Bereiche des Servers bekommen, die nicht für ihn bestimmt sind und normalerweise eine Authentifizierung erfordern, heißt es von Microsoft.

Microsoft teilt mit, dass es derzeit keine Berichte über die Ausnutzung der Sicherheitslücke gibt. Ein Patch soll im Rahmen des monatlichen Patch-Days zur Verfügung gestellt werden. Sollte es die Situation erfordern, könnte das Update aber auch außerhalb des üblichen Release-Zyklus verbreitet werden.

Bis dahin gibt Microsoft im Security Advisory 971492 Hinweise, wie das Problem bis zur Veröffentlichung des Patches umgangen werden kann. Die betroffenen IIS-Versionen sind Teil von Windows Server 2000 und 2003. Eingeschränkte Versionen sind zudem in Windows 2000 Professional und Windows XP Professional enthalten. Die mit Windows Server 2008 und Windows Vista eingeführte Version 7.0 ist nicht betroffen.