G 3.58 Fehlerhafte Konfiguration eines IIS
Fehlkonfigurationen eines Software-Systems sind häufig die Ursache für erfolgreiche Angriffe. Aufgrund der Komplexität eines IIS und der vielfältigen Einsatzmöglichkeiten in Verbindung mit anderen Server-Systemen besteht auch hier die Gefahr, dass das System durch Fehlkonfiguration nicht den geforderten Sicherheitsansprüchen genügt. Durch die Fülle von Konfigurationseinstellungen und durch die sich gegenseitig beeinflussenden Parameter können auch viele Sicherheitsprobleme entstehen. Einige typische Fehlkonfigurationen werden im folgenden aufgeführt:
- Zu viele, nicht benötigte Dienste werden angeboten: Je mehr Dienste und Services ein Server anbietet, desto größer sind die Angriffsmöglichkeiten auf die Verfügbarkeit des Rechners und die Vertraulichkeit und Integrität der zu verarbeitenden Daten. Jeder Dienst bzw. Service kann zusätzliche Schwachstellen enthalten, die für einen Angriff ausgenutzt werden können. Beispielsweise kann der FTP-Dienst zum Übertragen von Daten auf den Server ausgenutzt werden.
- Vertrauliche Informationen sind nicht ausreichend geschützt, da sie sich z. B. in zugänglichen Verzeichnissen befinden: In Abhängigkeit von Aufgabe und Einsatzumgebung können auch persönliche Informationen, z. B. durch die Auswertung von Formularen, auf dem Server vorhanden sein. Sind diese Daten nicht ausreichend vor einem unberechtigten Zugriff geschützt, z. B. durch ACLs (Access Control Lists), können sie ggf. von einem Angreifer ausgelesen werden.
- Eingabeparameter werden unzureichend geprüft: Viele Programmierer gehen bei der Entwicklung ihrer Anwendungen davon aus, dass vom Benutzer geforderte Eingaben, z. B. in einem Formularfeld oder eine URL, immer korrekt erfolgen. Die Prüfung der Benutzereingaben wird oft auf die für die weitere Verarbeitung erforderlichen Bedingungen beschränkt. Die Überprüfung der Syntax oder der verwendeten Zeichen wird oft vernachlässigt. Dabei besteht die Gefahr, dass Eingaben, die vom System nicht erwartet werden, z. B. Sonderzeichen oder Buchstaben anstelle von Zahlen, zu unnötigen Ressourcenbelastungen und Pufferüberläufen führen können und dadurch Sicherheitsfunktionen umgangen werden können.
- Fehlerhafte Zugriffslisten (Access Control Lists, ACLs): Der IIS ist eng mit dem Betriebssystem verzahnt und nutzt auch die Sicherheitsmechanismen von Windows für den Zugriff auf Dateien und Verzeichnisse. Oft werden die Zugriffsrechte sehr großzügig vergeben. Beispielsweise gehört das Konto IUSR_Computername, das bei der Installation des IIS automatisch angelegt wird, standardmäßig der Gruppe GAST an und besitzt somit die Rechte, auf Verzeichnisse außerhalb des Webroot-Verzeichnisses zuzugreifen. Auch innerhalb von virtuellen Verzeichnissen entstehen u. U. Risiken, wenn z. B. Scripts oder ausführbare Programme verwendet werden. Sind die Zugriffsrechte nicht restriktiv vergeben, besteht die Möglichkeit, dass diese Programme ausgelesen oder verändert werden.