KW28: CSOC-Event der Woche – Microsoft IIS Remote Code Execution

Durchschnittliche CSOC-Gesamtevents pro Tag:     67536
Detektionshäufigkeit CVE-2017-7269:      65 Events

Eventbeschreibung CVE-2017-7269 / Kritikalität = hoch (10 / 10)

Aktuell detektieren wir auffällig viele Events vom Typ „Microsoft IIS Remote Code Execution“. Dieses Angriffsszenario zeichnet sich durch ein Script aus, das bei seiner Ausführung in der Lage ist, eine Schwachstelle im Microsoft Internet Information Server IIS 6.0 auszunutzen. Ist der Angriff erfolgreich, kann es dem Angreifer gelingen, fremden Code auf dem Web-Server auszuführen. Es existiert ein passendes Schadcode-Modul (Microsoft IIS WebDav ScStoragePathFromUrl Overflow) im Metasploit Framework (Hacker-Tool). Bitte prüfen Sie, ob Ihr Web-Server auf dem aktuellen Stand ist oder ein Update erfordert!

Technische Beschreibung: (CVE-2017-7269)

Buffer overflow in the ScStoragePathFromUrl function in the WebDAV service in Internet Information Services (IIS) 6.0 in Microsoft Windows Server 2003 R2 allows remote attackers to execute arbitrary code via a long header beginning with „If: <http://“ in a PROPFIND request, as exploited in the wild in July or August 2016.