Microsoft
empfiehlt allen Administratoren schnellstens die
Patches aufzuspielen. Die Sicherheitslücke tut sich
bereits bei der Standardinstallation des IIS auf.
Dabei werden mit den Internet Services Application
Programming Interface-Extensions (ISAPI-Extensions)
diverse Bibliotheken installiert, die zusätzliche
Funktionen ermöglichen. Darunter befindet sich auch
die idq.dll, eine Komponente des Indexing Service
(Windows 2000) und des Index Servers (Windows NT).
Die
Bibliothek unterstützt Scripts zur Administration des
Servers und Suchanfragen der Indexing Services. Dass
in der idq.dll ein ungeprüfter Puffer steckt, ist
Microsoft gründlich verborgen geblieben. Selbst die
Beta-Versionen von Windows XP kommen deshalb mit der Lücke.
Ein
Angreifer braucht nur einen IIS mit installierten
Extensions zu finden, um den ungeprüften Puffer für
seine Zwecke zu missbrauchen. Da der Indexing Service
bei Windows 2000 standardmäßig mitgeliefert wird, dürfte
das nicht schwer fallen. Windows NT hat den
entsprechenden Index Server im sogenannten Option
Pack.
Mittels
Buffer Overflow ist es möglich, direkt auf
Systemebene mit allen lokalen Rechten zu agieren. Der
Angreifer könnte damit etwa Webseiten ändern,
Software auf den Server laden oder letzteren
umkonfigurieren. Fatal daran ist, dass das bloße
Vorhandensein der ISAPI-Extensions und der idq.dll bei
installiertem IIS ausreichen. Der Server selbst
braucht also dem Besucher gar keine Suchfunktion
anzubieten. Gleiches gilt für die eigentlich
Administratoren vorbehaltene Anfrage nach Internet
Data Administration-Scripts (.ida-Scripts). Da der
Buffer Overflow abgearbeitet wird, bevor die
Administratorenrechte geprüft werden, führt auch das
Manipulieren einer solche Anfrage zum Erfolg.
Microsoft
bietet Patches für Windows NT 4.0 und Windows 2000
(Professional, Server, Advanced Server) an. Der Patch
bewirkt eine korrekte Prüfung der Eingaben in den
ISAPI-Extensions. Weitere Informationen bietet das
Security Bulletin MS 01-033. Die Lücke wurde von eEye
Digital Security entdeckt.