VulDB: RSA Authentication Agent for Web for IIS bis 5.3 IISWebAgentIF.dll HTTP GET-Anfrage Redirect Pufferüberlauf
Allgemein
scipID: 1832
Betroffen: RSA Authentication Agent for Web for IIS bis 5.3
Veröffentlicht: 21.10.2005 (H.D. Moore, MetaSploit)
Risiko: 
kritisch
Beschreibung
RSA ist vor allem im professionellen Bereich für seine Token-Lösung SecurID bekannt, durch die eine strenge Authentisierung umgesetzt werden kann. Der RSA Authentication Agent for Web ist eine Lösung zur Einbindung dieses Mechanismus auf einem Webserver. Dabei wird standardmässig die Authentisierung über /WebID/IISWebAgentIF.dll umgesetzt. Genau diese ist einmal mehr gegen eine schwerwiegende Schwachstelle verwundbar. Und zwar kann mit einer langen Redirect-Zeile in einer HTTP GET-Anfrage ein Pufferüberlauf in den Versionen bis 5.3 initiiert werden. H.D. Moore, der diese Schwachstelle entdeckt hat, hat diese sofort in sein MetaSploit Framework integriert. Durch dieses Tool ist es sehr einfach möglich, derlei Schwachstellen automatisiert und nach Belieben auszunutzen. Zuerst waren keine Gegenmassnahmen bekannt. Als Workaround wurde empfohlen, die Zugriffe von ungeschützten Netzen mittels Firewalling einzuschränken. Mittlerweile bietet RSA Security ihren registrierten Kunden jedoch die Einsicht in das hauseigene Advisory sowie den Download eines Patches an.
Das MetaSploit Framwork ist ein sehr mächtiges Tool, das vorwiegend von Penetration Testern genutzt wurd, um potentielle Schwachstellen effektiv auszunutzen. Diese Möglichkeiten des frei verfügbaren Tools wird jedoch auch gerne von Angreifern genutzt. Gerade weil die Software so einfach zu bedienen ist und hochgradig effiziente Attacken umsetzen lässt, ist es eine grosse Gefahr, wenn ein Modul für das Ausnutzen einer Schwachstelle veröffentlicht wird. Administratoren tun also gut daran, sich so schnell wie möglich dem Problem anzunehmen und das Risiko erfolgreicher Angriffe so gering wie möglich zu halten.
Exploiting
Klasse: Pufferüberlauf
Lokal: Ja
Remote: Ja
Exploit: http://www.metasploit.com/projects/Framework/exploits.html#rsa_iiswebagent_redirect
Milw0rm: –
Nessus: –
ATK: –
Gegenmassnahmen
Status: Hersteller wurde über die Schwachstelle informiert.
Bestätigung: –
Massnahme: Mittels Firewalling die Kommunikation zu den Ports bzw. Hosts einschränken.
Link: https://knowledge.rsasecurity.com/
Snort: –
Pattern: –
Quellen
Advisory: http://www.metasploit.com/projects/Framework/exploits.html#rsa_iiswebagent_redirect
CVE: CVE-2005-4734
OSVDB: 20151
Securityfocus: 26424
Secunia: 17281
X-Force: –
Securitytracker: –
VUPEN: –
Securiteam: –
Tecchannel: –
Heise: 65198
smSS: –
Buchtipp: Marc Ruef, Marko Rogge, Uwe Velten und Wolfram Gieseke (2002), Hacking Intern – Angriffe, Strategien, Abwehr, Data Becker, ISBN 381582284X (amazon.de)
