Schutz von Windows Server 2003 R2 vor IIS-Lücke (CVE-2017-7269)

Schutz von Windows Server 2003 R2 vor IIS-Lücke (CVE-2017-7269)

Von Daniel Buhmann | Lead Security Analyst | Symantec Technical Specialist

Vor wenigen Tagen wurde eine Sicherheitslücke im WebDAV-Modul des Microsoft Webservers IIS 6.0 unter Microsoft Windows Server 2003 R2 bekannt, die wohl schon seit Juli oder August 2016 aktiv ausgenutzt wurde. Die Sicherheitslücke (CVE-2017-7269) ist als kritisch zu sehen und es wird keinen Patch mehr dafür geben, da Microsoft das Betriebssystem bereits vor 2 Jahren abgekündigt hat. Da viele unserer Kunden Server 2003 noch nutzen und auch noch viele Jahre nutzen werden, zeigen wir hier eine Möglichkeit, wie betroffene Systeme mit Symantec Embedded Security: Critical System Protection (SES:CSP) soweit geschützt werden können, dass die Sicherheitslücke nicht mehr ausgenutzt werden kann:

  1. Zunächst haben wir einen Server mit Windows Server 2003 R2 genommen und IIS und WebDAV aktiviert. Mit Hilfe des entsprechenden Exploits lässt sich die Sicherheitslücke ausnutzen.
Ausnutzen der Sicherheitslücke

2. Wir haben SES:CSP in Version 7.0 auf dem Server installiert und eine out-of-the-box Policy mit der Stufe Hardened erstellt.

Aufspielen SES:CSP in Version 7.0

3. Weder an der SES:CSP Policy noch am Server wurden weitere Änderungen vorgenommen. Wird nun der Exploit erneut ausgeführt, läuft dieser ins Leere und ein Angriff auf das System ist nicht mehr möglich.

Der Angriff läuft ins Leere

4. In den Logs von SES:CSP ist der Angriff sichtbar. In unserem Fall wird hier aufgeführt, dass aus dem Bereich des Webservers (iis_ps) heraus ein Zugriff auf den Prozess calc.exe blockiert wurde.

In den Logs von SES:CSP ist der Angriff sichtbar. In unserem Fall wird hier aufgeführt, dass aus dem Bereich des Webservers (iis_ps) heraus ein Zugriff auf den Prozess calc.exe blockiert wurde.
Der Zugriff wird blockiert

Obwohl es sich bei der Schwachstelle um eine so genannte Zero Day Lücke handelt, die nicht gepatcht wird, kann SES:CSP den Server schützen. Die aus dem Exploit resultierende Aktion ist kein Standardverhalten des Webservers und wird daher schon mit dem unveränderten Regelwerk blockiert.

Weiterführende Infos: Extrem gefährliche Lücke WebDAV-Modul von IIS 6.0

 

Keine Antworten

Kommentar hinterlassen

Your email address will not be published.