Internet Information Services (IIS)

Die Schwachstelle steckt im WebDAV-Dienst von Microsofts Webserver Internet Information Services (IIS), wie er auf Microsoft Windows Server zum Einsatz kommt. Konkret liegt der Fehler in der internen Funktion, die einen Pfad aus einer übermittelten URL ableitet. Sie verarbeitet bestimmte überlange Kopfzeilen einer WebDAV-Anfrage – einer sogenannten PROPFIND-Anfrage – nicht korrekt: Ein zu langer Wert, der mit einem speziell präparierten If-Header beginnt, lässt einen Speicherbereich überlaufen (Pufferüberlauf). Über diesen Überlauf kann ein Angreifer aus der Ferne und ohne Anmeldung eigenen Code auf den Server schleusen und ausführen. Damit lässt sich der Webserver übernehmen. Ausnutzbar ist die Lücke allein durch das Senden einer manipulierten Anfrage über das Netzwerk, sofern der WebDAV-Dienst aktiviert und erreichbar ist. Betroffen sind Systeme, die diese ältere IIS-Version mit aktivem WebDAV betreiben; die Schwachstelle wurde bereits aktiv ausgenutzt.