Versteckte Sicherheitslücken auf Ihren IIS 8-Servern

Viele Shops haben noch nicht auf Windows Server 2012 und 2012 R2 umgestellt, aber ich sehe allmählich IIS 8 und 8.5 …

mehr und mehr in meiner Arbeit. Da ich ein Fan von Microsoft war, was Microsoft mit der Sicherheit in Windows Server getan hat, kann ich leicht davon ausgehen, dass der Webserver von Microsoft größtenteils auch vor Angriffen geschützt ist. Wenn Sie sich die Schwachstellendatenbanken ansehen, gab es in letzter Zeit nur minimale Sicherheitslücken, die sich auf IIS auswirken.
Mit der Sicherheit von IIS 8.x ist nicht alles perfekt, und die Immunität gegen Angriffe ist kaum der Fall. Wenn Sie sich weiter vertiefen, hat IIS tatsächlich einige Probleme, die Sie in eine Bindung bringen können. Der erste Satz, den ich beschreibe, enthüllt möglicherweise keine sensiblen Informationen direkt, kann jedoch Angriffe erleichtern und bei Sicherheitsüberprüfungen sogar einige rote Fahnen erzeugen – insbesondere, wenn der Prüfer keinen Zusammenhang mit der Kritikalität der Ergebnisse herstellt. Die folgenden Sicherheitslücken weisen derzeit wahrscheinlich jeder IIS 8.x-Webserver auf:

  • SSL Version 3 ist aktiviert. Dies erleichtert die POODLE Man-in-the-Middle-Angriff das war in letzter Zeit sehr beliebt. Auch wenn der Server auch spätere Versionen von TLS unterstützt, kann er dennoch anfällig sein.
  • Cross-Frame-Scripting das erleichtert Clickjacking. Dies kann verwendet werden, um Benutzer dazu zu bringen, auf etwas zu klicken, das sich von dem unterscheidet, auf das sie klicken.
  • HTTP-Zugriff ist möglich. Dies ermöglicht Klartext-Serververbindungen, die nicht zu HTTPS umgeleitet werden.

In den meisten Situationen halte ich diese Fehler normalerweise für “unkritisch”, da sie in ihrem aktuellen Zustand möglicherweise nicht schädlich sind.
Sie müssen auch über diese serverzentrierten Sicherheitsanfälligkeiten hinausblicken und überlegen, was auf Ihren IIS 8.x-Servern ausgeführt wird. Nur weil Ihre IIS 8.x-Webserver grundlegende Schwachstellenscans “bestehen”, heißt das nicht, dass Sie sich nicht weiter mit einem guten Schwachstellenscanner beschäftigen sollten, der Fehler in den Webanwendungen selbst aufdeckt, wie z. B. NTOSpider. Acunetix Web Vulnerability Scanneroder Netsparker. Diese Ergebnisse werden den Rest des Sicherheitsbildes zeichnen.
Die folgenden Sicherheitslücken erhalten nicht die Presseberichterstattung, die die Fly-by-Night-Markensoftware-Exploits erhalten, da sie für jede Anwendung spezifischer sind, aber vor allem Sicherheitsrisiken in Ihrer Umgebung verursachen können:

  • Cross-Site-Scripting, mit dem Angreifer Benutzerinformationen manipulieren und Malware verbreiten können
  • SQL-Injection, die die Datenbank der Welt über das Web-Frontend präsentiert
  • Schwachstellen bei der Verwaltung von Benutzersitzungen, mit denen Anwendungssitzungen von Angreifern manipuliert werden können
  • Schwache Kennwortrichtlinien, die häufig mit einer fehlenden Sperrung von Eindringlingen verbunden sind

Obwohl sie nicht so offensichtlich sind wie die oben genannten Probleme mit Webservern, sind diese Fehler viel leichter auszunutzen und gefährden vertrauliche Informationen wahrscheinlich direkt. Auch hier gibt es viele Variablen, aber ich bewerte diese Ergebnisse normalerweise als kritisch – Dinge, die so schnell wie möglich behoben werden müssen.
Unabhängig davon, ob Sie Manager, Administrator oder Entwickler sind, empfehle ich Ihnen, die zu überprüfen OWASP Top 10, Dies ist eine Konsensliste der Web-Sicherheitsbedenken, von denen angenommen wird, dass sie die wichtigsten sind, auf die man sich konzentrieren sollte. Wenn Sie sich regelmäßig und konsistent auf den Server und die Anwendungsschicht konzentrieren, kann Ihr Unternehmen mit der allgemeinen Web- und Windows Server-Sicherheit dahin gelangen, wo es wirklich sein muss.

Similar Posts

Leave a Reply