Im Standard ist in Microsoft IIS das Kernel Caching aktiviert. Dadurch werden Anfragen nach zwischengespeicherten Antworten bedient, ohne dass dafür ein Wechsel in den Benutzermodus erforderlich ist. Das steigert die Leistung, da einmal verarbeitete Informationen im Hauptspeicher des Servers vorgehalten und für andere Anfragen wiederverwendet werden können. Die Sicherheitslücke wird über den Range HTTP Header ausgenutzt. Ein Angreifer müsste dazu lediglich eine HTTP-Anfrage mit einem speziellen Range-Wert senden und könnte damit einen Overflow der Range-Variablen auf dem Server auslösen. Zwar hat Trend Micro noch keine Exploits im Cyberuntergrund gesehen, deren Entwicklung erfordert aber keinen großen Aufwand.
"Viele Betreiber von Webservern auf IIS-Basis dürften ein Problem damit haben, das Caching im Kernel-Mode zu deaktivieren, einfach weil die damit verbundenen Performance-Verluste aufgrund der Vielzahl der zu bedienenden Anfragen zu groß wären", erklärt Sicherheitsexperte Udo Schneider, Pressesprecher bei Trend Micro. "Aber auch das sofortige Einspielen des verfügbaren Patches ist wohl nur in wenigen Fällen ein Option. Schließlich sind IIS-Server in der Regel Systeme, die eine 100-prozentige Verfügbarkeit erfordern. Der Patch-Aufwand und die zeitlichen Abstände zwischen den Wartungsarbeiten sind hier sehr hoch. Unternehmen sollten deshalb über die Implementierung von Lösungen nachdenken, die Sicherheitslücken virtuell abschirmen können."
Weitere Informationen
Weitere Informationen zur Gefahr von DoS-Angriffen auf IIS-Server sind im deutschen Trend Micro-Blog erhältlich.
Weitere Informationen zu Trend Micro sind verfügbar unter http://www.trendmicro.de.
Anwender informieren sich über aktuelle Bedrohungen unter http://blog.trendmicro.de.
Folgen Sie uns auch auf Twitter unter www.twitter.com/TrendMicroDE.