Alert! Microsoft warnt vor Exploit-Code gegen Webserver

Nach Angaben von Microsoft gibt es Hinweise auf einen im Internet kursierenden Exploit, der versucht, die in MS04-011 beschriebene Schwachstelle im SSL/PCT-Dienst unter Windows auszunutzen, um beliebigen Code auf verwundbaren Systemen auszuführen. Der Exploit zielt speziell auf Internet Information Server (IIS), die auch Webseiten über SSL ausliefern. Hauptsächlich gefährdet ist der IIS unter Windows 2000 und Windows NT 4.0. Anwender, die Windows Server 2003 oder Windows XP in der Standardkonfiguration einsetzen, seien nicht gefährdet. Microsoft stuft die Hinweise als glaubwürdig ein und fordert Kunden derzeit auf, unverzüglich das Update MS04-011 sowie die anderen als kritisch eingestuften Updates vom 13. April 2004 zu installieren.

Anwender, die den Patch noch evaluieren oder testen, sollten den Workaround für die PCT/SSL-Schwachstelle einsetzen, bei der die PCT-Unterstützung deaktiviert wird. Eine Beschreibung ist auf der Webseite http://www.microsoft.com/germany/ms/security/pctdisable.mspx zu finden. Weitere Details zu SSL und der Deaktivierung von PCT liefert der Knowledge-Base-Artikel KB187498.

Ob es sich bei dem Code um einen der auf THC.org (The Hackers Choice) veröffentlichten Exploits gegen den IIS 5.0 unter Windows 2000 handelt, erklärt Microsoft nicht. Die Exploits waren in Binärform Mitte der Woche für kurze Zeit verfügbar. Ein Test der ersten Version des Exploits in der heise-Security-Redaktion gegen einen ungepatchten IIS 5.0 führte jedoch weder zum Absturz des Systems noch zu einer Shell. Seit dem gestrigen Donnerstag ist die Webseite von THC nicht mehr erreichbar, der Quelltext ist aber mittlerweile auf mehreren Webseiten im Internet veröffentlicht. Die Herausgabe der Binaries führte auf der Mailingliste Full Disclosure zu einem heftigen Schlagabtausch, ob die Hacker-Ethik es zulasse, kompilierte Exploits zur Verfügung zu stellen: Damit arbeite man nur Skript-Kiddies zu, die nicht in der Lage wären Quelltexte selbst zu kompilieren. (dab)