So stieß ein Ingenieur der in Portland im Bundesstaat Oregon beheimateten Softwarefirma Webtrends auf eklatante Sicherheitslücken in den Microsoft-Produkten Internet Information Server 4.x (IIS) und Site Server 3.x. In der Standardkonfiguration werden beim Site Server drei Server-Module, sogenannte "Active Server Pages" (ASPs), installiert, bei denen keine ausreichende Zugangskontrolle mittels Access Control Lists eingerichtet ist. Der IIS verfügt über diese ASPs nur, wenn bei der Installation auch die Sample Web Files aufgespielt wurden.
Über "Viewcode.asp", "Showcode.asp" sowie "Codebrws.asp" erhalten Hacker Zugang zu sensitiven Informationen. So war der Webtrends-Mitarbeiter in der Lage, die Parameter jeder auf dem Server gespeicherten Datei einzusehen. Eindringlinge haben seinen Angaben zufolge zudem Zugang zu Datenbankinformationen, beispielsweise den Produktkatalog eines Web-Shops. Ferner könnten findige Spezialisten den Source- code von HTML-Seiten auf den Servern einsehen.
Microsoft arbeitet an einer Lösung des Sicherheitsproblems und hat einen Service-Patch für die betroffenen Anwendungen in Aussicht gestellt. Zudem informiert der Softwaregigant unter http://www. microsoft.com/security/ bulletins/ ms99-013.asp.
Zwischenzeitliche Maßnahmen
In der Zwischenzeit sollten Anwender der Server-Software überprüfen und die besagten Module inklusive dem Programm "Winmsdp.exe" löschen.
Doch es hapert nicht nur bei den Server-Tools von Microsoft. So fand der Windows-Programmierer Scott Schnoll, der ebenfalls aus Portland stammt, einen Bug im Internet Explorer 5. Besucht ein User dieser Browser-Software eine mit einem Paßwort geschützte Web-Site, so hat ein anderer Benutzer des gleichen Computers Zugriff auf dieselben Daten, ohne daß er seinerseits den Zugangscode zu kennen braucht. Hierzu muß der zweite Surfer lediglich die URL der Site eingeben, den Back-Button und dann den Forward-Button drücken. Dies funktioniert selbst dann, wenn der erste Anwender den Browser beendet hat. Nach bisherigen Erkenntnissen sind jedoch nur Unix-basierte Web-Sites betroffen, die mit der .ht-Zugriffsmethode arbeiten. Außerdem gilt dies nur, wenn der Benutzername und das Paßwort in einem Dialogfenster abgefragt werden. Erfolgt die Eingabe innerhalb eines HTML-Formulars, so droht keine Gefahr.
Doch die Anwender können Gegenmaßnahmen ergreifen. Verhindern läßt sich die Preisgabe sensitiver Daten durch manuelles Löschen des lokalen Cache, den die Browser-Software verwaltet, so Schnoll. Eine andere Möglichkeit besteht in der Option des IE 5, den Zwischenspeicher nach dem Beenden des Programmlaufs automatisch zu leeren. Ferner sollte der Browser so eingestellt werden, daß er Web-Seiten nicht aus dem Cache, sondern direkt von der Site lädt. Außerdem rät Schnoll dazu, keine verschlüsselten HTML-Seiten auf der Festplatte zu speichern. Auch dies läßt sich durch ein Umkonfigurieren des IE 5 umgehen.
Der Fehler erscheint nicht besonders dramatisch, doch überall dort, wo mehrere Personen Zugang zu einem PC haben, sollten sich Internet-Explorer-Anwender der Gefahr bewußt sein.