Neue Angriffswelle auf IIS-Webserver

NetzwerkeSicherheitSicherheitsmanagementSoftware

Neue massive Angriffe betreffen vor allem Webserver mit dem Microsoft Information Server. Schuld seien aber die Serverbetreiber selbst, mahnt Wired.

Eine halbe Million Websites, die vom Microsoft-Server IIS betrieben werden, seien derzeit Opfer einer massiven Angriffswelle mit “SQL Injections”, berichtet Wired. Opfer seien unter anderem die UN, die britische Regierung und das US-amerikanische Department of Homeland Security.

Diesmal sei es allerdings nicht Microsofts Schuld, obwohl das Problem nur beim IIS-Server auftritt. Die automatisierte Angriffswelle nutze die Tatsache, dass IIS-Server Kommandos ohne spezielle Argumente dahinter zulassen würden. Die Systemschwäche allerdings liege eher daran, dass die Betreiber de Webseiten schlecht mit eingehenden Daten umgehen statt eingehende Infos erst einmal zu prüfen, erklärt die Wired-Redaktion. In anderen Worten: Es gibt keinen Patch, der die Nachlässigkeit der Betreiber ausgleicht – Entwickler, die den Empfehlungen von Microsoft zu Sicherheitspraktiken nicht gefolgt seien, seien selbst schuld.

Über die Attacke würden bösartige JavaScripts in jedes Textfeld der Datenbanken eingefügt. Statt Texte anzuzeigen, startet die Website so das Script, welches wiederum externe Scripts zur Kompromittierung von Rechnern aufruft, die auf den betroffenen Webserver zugreifen.

Schon im Januar gab es SQL-Injection-Angriffe (wir berichteten http://www.pc-professionell.de/news/security/news20080110011.aspx), die jedoch eine Lücke im RealPlayer der-Client-PCs ausnutzten. Die meisten großen Webseiten hätten seither ihre Sites überarbeitet, doch viele Internet-Auftritte seien noch immer nutzbar, um über sie User anzugreifen.

Wer als Surfer nicht angreifbar sein wolle, solle die Firefox.-Verion “NoScript” benutzen. Und betroffene Betreiber von Websites müssten ihre Datenbanken reinigen. Das solle man am besten mit einem sauberen Backup machen, um die gereinigten Daten dann neu aufzuspielen. Wer kein Backup habe, solle den Workaround auf hackademix.net nutzen, um den Angriff nachzuvollziehen, allerdings dabei einfach ein paar Zeilen löschen statt den Angriffscode neu aufzuspielen.

Bill Sisk, Manager des Response-Centers für “Microsoft Trustworthy Computing”, schlägt in seinem Blog vor, einen entsprechenden Angriff bei MS zu melden. Wer hinter den Angriffen steht, ist noch nicht bekannt. Microsoft und einige der beroffenen Website-Betreiber hätten die Polizeibehörden bereits informiert – das Melden solcher Fehler könne bei der Suche nach den Schuldigen helfen. (mk)

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen