DFN-CERT-2017-0447 Microsoft IIS Server: Eine Schwachstelle ermöglich eine Privilegieneskalation [Windows]

DFN-CERT-2017-0447 Microsoft IIS Server: Eine Schwachstelle ermöglich eine Privilegieneskalation [Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Microsoft IIS

Betroffene Plattformen:

Microsoft Windows 7 SP1 x64
Microsoft Windows 7 SP1 x86
Microsoft Windows 8.1 x64
Microsoft Windows 8.1 x86
Microsoft Windows 10 x64
Microsoft Windows 10 x86
Microsoft Windows 10 x64 v1511
Microsoft Windows 10 x86 v1511
Microsoft Windows 10 x64 v1607
Microsoft Windows 10 x86 v1607
Microsoft Windows RT 8.1
Microsoft Windows Server 2008 SP2 x64 Server Core Installation
Microsoft Windows Server 2008 SP2 x86 Server Core Installation
Microsoft Windows Server 2008 SP2 Itanium
Microsoft Windows Server 2008 SP2 x64
Microsoft Windows Server 2008 SP2 x86
Microsoft Windows Server 2008 R2 SP1
Microsoft Windows Server 2008 R2 SP1 x64 Server Core Installation
Microsoft Windows Server 2008 R2 SP1 x64
Microsoft Windows Server 2008 R2 SP2
Microsoft Windows Server 2008 R2 SP2 Itanium
Microsoft Windows Server 2008 R2 SP2 x62
Microsoft Windows Server 2012
Microsoft Windows Server 2012 Server Core Installation
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012 R2 Server Core Installation
Microsoft Windows Server 2016 x64
Microsoft Windows Vista SP2
Microsoft Windows Vista SP2 x64

Eine Schwachstelle in Microsoft IIS Server ermöglicht es einem entfernten,
nicht authentifizierten Angreifer, der einen Anwender mit Hilfe einer
speziell gestalteten URL auf eine von ihm kontrollierte Seite leitet, die
Schwachstelle zur Durchführung eines Cross-Site-Scripting (XSS)-Angriffs
auszunutzen und in der Folge durch Ausführung von Programmcode mit den
Rechten des Anwenders seine Privilegien zu eskalieren.

Microsoft stellt Sicherheitsupdates für Windows Vista, Windows 7, Windows
8.1, Windows RT 8.1, Windows 10, Windows Server 2008 und Windows Server 2008
R2, Windows Server 2012 und Windows Server 2012 R2, Windows Server 2016
sowie Server Core-Installationen zur Verfügung, um diese Schwachstelle zu
beheben. Die Sicherheitsupdates werden als „Hoch“ eingestuft.

Patch:

Microsoft Sicherheitshinweis MS17-016 (Microsoft IIS Server)

https://technet.microsoft.com/de-de/library/security/MS17-016

CVE-2017-0055: Schwachstelle in Microsoft IIS Server ermöglicht
Privilegieneskalation

Der Microsoft IIS Server enthält eine Schwachstelle, die auf einer
fehlerhaften Bereinigung von Webanforderungen beruht. Dadurch ist der
Microsoft IIS Server für Cross-Site-Scripting-Angriffe verwundbar, welche
eine Ausweitung von Rechten ermöglichen können.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0447/

Microsoft Sicherheitshinweis MS17-016 (Microsoft IIS Server):
https://technet.microsoft.com/de-de/library/security/MS17-016

Schwachstelle CVE-2017-0055 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0055

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben