Neue Angriffswelle auf IIS-Webserver

Manfred Kohlen,
NetzwerkeSicherheitSicherheitsmanagementSoftware

Eine halbe Million Websites, die vom Microsoft-Server IIS betrieben werden, seien derzeit Opfer einer massiven Angriffswelle mit “SQL Injections”, berichtet Wired. Opfer seien unter anderem die UN, die britische Regierung und das US-amerikanische Department of Homeland Security.

Diesmal sei es allerdings nicht Microsofts Schuld, obwohl das Problem nur beim IIS-Server auftritt. Die automatisierte Angriffswelle nutze die Tatsache, dass IIS-Server Kommandos ohne spezielle Argumente dahinter zulassen würden. Die Systemschwäche allerdings liege eher daran, dass die Betreiber de Webseiten schlecht mit eingehenden Daten umgehen statt eingehende Infos erst einmal zu prüfen, erklärt die Wired-Redaktion. In anderen Worten: Es gibt keinen Patch, der die Nachlässigkeit der Betreiber ausgleicht – Entwickler, die den Empfehlungen von Microsoft zu Sicherheitspraktiken nicht gefolgt seien, seien selbst schuld.

Über die Attacke würden bösartige JavaScripts in jedes Textfeld der Datenbanken eingefügt. Statt Texte anzuzeigen, startet die Website so das Script, welches wiederum externe Scripts zur Kompromittierung von Rechnern aufruft, die auf den betroffenen Webserver zugreifen.

Schon im Januar gab es SQL-Injection-Angriffe (wir berichteten http://www.pc-professionell.de/news/security/news20080110011.aspx), die jedoch eine Lücke im RealPlayer der-Client-PCs ausnutzten. Die meisten großen Webseiten hätten seither ihre Sites überarbeitet, doch viele Internet-Auftritte seien noch immer nutzbar, um über sie User anzugreifen.

Wer als Surfer nicht angreifbar sein wolle, solle die Firefox.-Verion “NoScript” benutzen. Und betroffene Betreiber von Websites müssten ihre Datenbanken reinigen. Das solle man am besten mit einem sauberen Backup machen, um die gereinigten Daten dann neu aufzuspielen. Wer kein Backup habe, solle den Workaround auf hackademix.net nutzen, um den Angriff nachzuvollziehen, allerdings dabei einfach ein paar Zeilen löschen statt den Angriffscode neu aufzuspielen.

Bill Sisk, Manager des Response-Centers für “Microsoft Trustworthy Computing”, schlägt in seinem Blog vor, einen entsprechenden Angriff bei MS zu melden. Wer hinter den Angriffen steht, ist noch nicht bekannt. Microsoft und einige der beroffenen Website-Betreiber hätten die Polizeibehörden bereits informiert – das Melden solcher Fehler könne bei der Suche nach den Schuldigen helfen. (mk)

Lesen Sie auch :

Ransomware-as-a-Service: Wie Unternehmen sich vor Daten-Erpressung schützen können

Gefahr fürs Firmennetzwerk: Potenzielle Einfallstore für Hacker identifizieren

Support für Windows Server 2008 und Windows 7 läuft in einem Jahr aus
Manfred Kohlen
Autor: Manfred Kohlen
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen