Microsoft IIS 6.0 Admin Interface schwache Authentisierung

VulDB: Microsoft IIS 6.0 Admin Interface schwache Authentisierung

Allgemein

Microsoft

scipID: 190
Betroffen: Microsoft IIS 6.0 Admin Interface verschiedene ASP-Skripte
Veröffentlicht: 23.07.2003 (Hugo Vázquez Caramés und Toni Cortés Martínez)
Risiko: sehr kritisch
Eintrag: 88.7% komplett
Erstellt: 23.07.2003

Beschreibung

Der Microsoft Internet Information Server ist ein beliebter Webserver für die professionellen Windows-Betriebssysteme. Die Version 6.0 wird zusammen mit Microsoft Windows 2003 Server ausgeliefert. Hugo Vázquez Caramés und Toni Cortés Martínez posteten auf Bugtraq ein Advisory, bei dem sie auf mehrere Schwachstellen im Admin Interface von MS IIS 6.0 hinweisen. Durch network/adminpw_prop.asp kann das Administrator-Passwort des eingesetzten Windows 2003 geändert werden. Dazu ist jedoch die Eingabe des alten Passworts notwendig. Diese Voraussetzung ist jedoch nicht gegeben, wenn das Administrator-Passwort über users/user_setpassword.asp geändert wird. Sodann ist jederman in der Lage, ein neues Administrator-Passwort für das Windows 2003 zu vergeben. Microsoft wurde nicht vorzeitig über die Existenz der Schwachstellen informiert. Es ist jedoch damit zu rechnen, dass sie einen Patch für diese Verwundbarkeit herausgeben werden. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityFocus (BID 8244) dokumentiert.

Hugo Vázquez Caramés und Toni Cortés Martínez haben mit diesem Bugtraq-Posting sehr unfair und unprofessionell gehandelt. Sie weisen eingehends darauf hin, dass sie keine Freunde von Microsoft sind. Aus diesem Grund würden sie es unterlassen, Microsoft frühzeitig und explizit auf die Schwachstelle hinzuweisen. Resultat dieses ignoranten Verhaltens ist, dass ein Mehr an Zeit verstreichen wird, bis Microsoft den Fehler kennt und entsprechende Gegenmassnahmen einleiten kann.