Leute die einen IIS (Internet Information Server) unter Win2K betreiben, leben mit einem Sicherheitsrisiko, das vielen nicht bekannt ist.
Durch einen Fehler in einer/meherer DLL's ist es möglich, einen Unicode-String auszuführen und somit die Kontrolle über das System zu erhalten.
Der Angreifer gibt hierbei in seinem Browser eine Kombination von Unicode-Zeichen und einige DOS Befehle ein und führt auf dem Zielrechner mit Systemrechten Befehle aus.
Nach tagelangem suchen in diversen Technet-Boards und bei M$ selber, hatte ich keine adequate Lösung finden können und habe die Codezeilen selber analysiert.
Mein Focus galt irrtümlicher Weise dem Unicode der dabei verwendet wurde. Nachdem ich dann einge Zeilen einer solchen Attacke entschlüsselt hatte kam ich erstmalig auf den Gedanken, das nicht der Unicode sondern die CMD.EXE das Problem darstellt.
Durch sperren der cmd.exe kann natürlich kein commando mehr ausgeführt werden, logisch oder? Wenn kein Commando-Interpreter da ist
Die cmd.exe hab ich sogar für den Admin gesperrt, das ist zwar manchmal umständlich, aber sicher ist sicher.
Die CMD sperrt man wie folgt:
>start>ausführen>mmc
>menue>konsole>snap-in hinzufügen
>eigenständig>hinzufügen
>gruppenrichtlinie>hinzufügen>ok
>ok
dann ziemlich weit unten in dem Fenster auswählen "Befehlszeilenaufforderung deaktivieren"
>den Radio-buttom auf "aktiviert" setzen
>Scriptverarbeitung blocken "ja"
und alles mit OK bestätigen.
In den LOGS könnt ihr dann sehen, das jeder Versuch die Unicode+CMD Befehle abzusetzen kläglich scheitert und der IIS sicher ist
Durch einen Fehler in einer/meherer DLL's ist es möglich, einen Unicode-String auszuführen und somit die Kontrolle über das System zu erhalten.
Der Angreifer gibt hierbei in seinem Browser eine Kombination von Unicode-Zeichen und einige DOS Befehle ein und führt auf dem Zielrechner mit Systemrechten Befehle aus.
Nach tagelangem suchen in diversen Technet-Boards und bei M$ selber, hatte ich keine adequate Lösung finden können und habe die Codezeilen selber analysiert.
Mein Focus galt irrtümlicher Weise dem Unicode der dabei verwendet wurde. Nachdem ich dann einge Zeilen einer solchen Attacke entschlüsselt hatte kam ich erstmalig auf den Gedanken, das nicht der Unicode sondern die CMD.EXE das Problem darstellt.
Durch sperren der cmd.exe kann natürlich kein commando mehr ausgeführt werden, logisch oder? Wenn kein Commando-Interpreter da ist
Die cmd.exe hab ich sogar für den Admin gesperrt, das ist zwar manchmal umständlich, aber sicher ist sicher.
Die CMD sperrt man wie folgt:
>start>ausführen>mmc
>menue>konsole>snap-in hinzufügen
>eigenständig>hinzufügen
>gruppenrichtlinie>hinzufügen>ok
>ok
dann ziemlich weit unten in dem Fenster auswählen "Befehlszeilenaufforderung deaktivieren"
>den Radio-buttom auf "aktiviert" setzen
>Scriptverarbeitung blocken "ja"
und alles mit OK bestätigen.
In den LOGS könnt ihr dann sehen, das jeder Versuch die Unicode+CMD Befehle abzusetzen kläglich scheitert und der IIS sicher ist