Trend Micro warnt vor Remote-Denial-of-Service-Angriffen auf eine Sicherheitslücke (MS15-034) in Webservern auf Basis der Microsoft Internet Information Services (IIS). Ohne sich authentifizieren zu müssen, könnten Angreifer aus der Ferne diese Server zum Absturz bringen (Blue Screen of Death, BSOD). Der japanische IT-Sicherheitsanbieter Trend Micro rät daher zum schnellstmöglichen Einspielen des seit April verfügbaren Microsoft-Patches oder Deaktivieren des IIS-Cachings.

Im Standard ist in Microsoft IIS das Kernel Caching aktiviert. Dadurch werden Anfragen nach zwischengespeicherten Antworten bedient, ohne dass dafür ein Wechsel in den Benutzermodus erforderlich ist. Das steigert die Leistung, da einmal verarbeitete Informationen im Hauptspeicher des Servers vorgehalten und für andere Anfragen wiederverwendet werden können. Die Sicherheitslücke wird über den Range HTTP Header ausgenutzt. Ein Angreifer müsste dazu lediglich eine HTTP-Anfrage mit einem speziellen Range-Wert senden und könnte damit einen Overflow der Range-Variablen auf dem Server auslösen. Zwar hat Trend Micro noch keine Exploits im Cyberuntergrund gesehen, deren Entwicklung erfordert aber keinen großen Aufwand.

„Viele Betreiber von Webservern auf IIS-Basis dürften ein Problem damit haben, das Caching im Kernel-Mode zu deaktivieren, einfach weil die damit verbundenen Performance-Verluste aufgrund der Vielzahl der zu bedienenden Anfragen zu groß wären“, erklärt Sicherheitsexperte Udo Schneider, Pressesprecher bei Trend Micro. „Aber auch das sofortige Einspielen des verfügbaren Patches ist wohl nur in wenigen Fällen ein Option. Schließlich sind IIS-Server in der Regel Systeme, die eine 100-prozentige Verfügbarkeit erfordern. Der Patch-Aufwand und die zeitlichen Abstände zwischen den Wartungsarbeiten sind hier sehr hoch. Unternehmen sollten deshalb über die Implementierung von Lösungen nachdenken, die Sicherheitslücken virtuell abschirmen können.“

Siehe auch:

http://blog.trendmicro.de/iis-in-gefahr-ueber-die-http-protokoll-stack-schwachstelle/

http://www.trendmicro.de/media/wp/virtual-patching-whitepaper-en.pdf