MS01-033: Niet-gecontroleerde buffer in ISAPI-extensie van Index Server kan ernstige bedreiging voor webserver vormen

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 300972 - Bekijk de producten waarop dit artikel van toepassing is.
Dit artikel is eerder gepubliceerd onder NL300972
Dit artikel is gearchiveerd. Het wordt aangeboden in de huidige vorm en wordt niet meer bijgewerkt.
OPMERKING: dit beveiligingsprobleem is ook relevant voor de Indexing-service in de bètaversie van Microsoft Windows XP. Microsoft werkt rechtstreeks samen met het kleine aantal klanten dat de bètaversie gebruikt in productieomgevingen om een oplossing te vinden. Zie voor meer informatie het FAQ-gedeelte op de volgende Microsoft-website:
http://www.microsoft.com/technet/security/bulletin/ms01-033.mspx
Alles uitklappen | Alles samenvouwen

Op deze pagina

Symptomen

Tijdens de installatie van IIS worden verschillende ISAPI-extensies geïnstalleerd. Dit zijn Dynamic-Link Libraries (DLL's) die extra functionaliteit bieden. Een van deze DLL's is Idq.dll, een onderdeel van Index Server (de Indexing-service in Windows 2000). Deze DLL biedt ondersteuning voor beheerscripts (Internet Data Administration-, of .ida-, bestanden) en Internet Data Query (.idq)-bestanden.

Er ontstaat een beveiligingsprobleem omdat Idq.dll een niet-gecontroleerde buffer bevat in een sectie met code waarmee ingevoerde URL's worden afgehandeld. Een hacker die een websessie tot stand kan brengen met een server waarop Idq.dll is geïnstalleerd, kan de buffer laten overlopen en vervolgens code uitvoeren op de webserver. Idq.dll wordt uitgevoerd in de System-context, wat betekent dat via dit beveiligingslek volledige controle over de server kan worden verkregen en dat de hacker dus elke gewenste actie kan uitvoeren.

De bufferoverloop treedt op voordat indexeerfuncties zijn aangeroepen. Dit betekent dat hoewel Idq.dll onderdeel is van Index Server/Indexing-service, de service niet actief hoeft te zijn om ervoor te zorgen dat een hacker misbruik kan maken van dit beveiligingslek. Op voorwaarde dat de scripttoewijzing voor .idq- of .ida-bestanden aanwezig is en de hacker een websessie tot stand kan brengen, kunnen hackers via dit lek volledige controle over de server krijgen.

Het is duidelijk dat het hier om een zeer ernstig probleem gaat. Microsoft adviseert daarom alle klanten direct actie te ondernemen. Klanten die de patch niet kunnen installeren, kunnen hun systemen beveiligen door de scripttoewijzingen voor .idq- en .ida-bestanden te verwijderen met Internet Services Manager in IIS. Het is echter mogelijk dat deze toewijzingen automatisch worden hersteld wanneer extra systeemonderdelen worden toegevoegd of verwijderd. Microsoft adviseert daarom alle klanten de patch te installeren met IIS, zelfs als de scripttoewijzingen zijn verwijderd. Zie voor meer informatie het FAQ-gedeelte op de volgende Microsoft-website:
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp

Beperkende factoren

  • Het beveiligingslek kan alleen worden misbruikt als een websessie tot stand kan worden gebracht met een server met de bewuste DLL. Klanten die werken met Index Server of Index Services, maar niet met IIS, lopen geen gevaar. Dit is de standaardsituatie voor Windows 2000 Professional.
  • Het lek kan niet worden misbruikt als de scripttoewijzingen voor .ida- en .idq-bestanden niet aanwezig zijn. De procedure voor het verwijderen van de toewijzingen wordt besproken in de Security Checklists van IIS 4.0 en IIS 5.0. De toewijzingen kunnen automatisch worden verwijderd met de sjabloon High Security of de Security Tool voor Windows 2000 Internet Server. Klanten moeten er wel rekening mee houden dat het achteraf toevoegen of verwijderen van systeemonderdelen tot gevolg kan hebben dat de toewijzingen worden hersteld (zoals aangegeven in de FAQ).

    Raadpleeg voor meer informatie de volgende websites van Microsoft:
  • De kans dat een hacker de bevoegdheden op een gekraakte webserver kan gebruiken op andere computers, wordt in hoge mate bepaald door de specifieke configuratie van het netwerk. Risicopreventie begint al bij de netwerkarchitectuur, waar rekening moet worden gehouden met het inherent grote risico dat computers in een niet-beheerde omgeving zoals het Internet lopen. Het is essentieel dat deze computers optimaal worden afgeschermd van de buitenwereld. Dit kan via maatregelen zoals demilitarized zones (DMZ's), het werken met zo weinig mogelijk services en het isoleren van contact met interne netwerken. Deze maatregelen zorgen er niet alleen voor dat de computers zo min mogelijk in contact komen met externe computers of netwerken, maar ook dat de hacker weinig mogelijkheden heeft andere computers aan te vallen.

Oplossing

Windows 2000

U kunt dit probleem oplossen met de hotfix die in dit gedeelte wordt vermeld of met Windows 2000 Security Rollup Package 1 (SRP1). Klik voor meer informatie over SRP1 op het volgende artikelnummer in de Microsoft Knowledge Base:
311401 Windows 2000 Security Rollup Package 1 (SRP1), January 2002
Microsoft heeft nu een correctie beschikbaar gesteld. Deze correctie is echter alleen bestemd voor het in dit artikel beschreven probleem en dient alleen te worden toegepast op systemen waarvan is vastgesteld dat ze deze zwakke plek vertonen. Controleer de fysieke toegankelijkheid van uw computer, netwerk en Internet-verbinding en andere factoren om vast te stellen hoe kwetsbaar uw computer is. Raadpleeg het bijbehorende Microsoft Security Bulletin om dit vast te stellen. Deze correctie wordt later aan extra tests onderworpen om de productkwaliteit verder te verhogen. Als de computer redelijk kwetsbaar is, wordt u aangeraden deze correctie nu te installeren. Als dit niet het geval is, kunt u wachten op het volgende service pack voor Windows 2000 waarin deze correctie is opgenomen.

Als u het probleem onmiddellijk wilt verhelpen, downloadt u de correctie volgens de aanwijzingen hieronder of neemt u contact op met Microsoft Product Support Services om de correctie op te halen. Een volledige lijst met telefoonnummers van Microsoft Product Support Services en informatie over kosten van ondersteuning vindt u op het volgende adres op het World Wide Web:

http://support.microsoft.com/directory/overview.asp
OPMERKING: in speciale gevallen kunnen kosten die normaal verbonden zijn aan ondersteuningsoproepen, worden geannuleerd als een medewerker van Microsoft Productondersteuning van mening is dat een specifieke update de oplossing van uw probleem is. Normale ondersteuningskosten blijven gelden voor extra ondersteuningsvragen die niet in aanmerking komen voor de specifieke update in kwestie.

U kunt het volgende bestand downloaden vanaf het Microsoft Download Center:
Deze afbeelding samenvouwenDeze afbeelding uitklappen

Downloaden
Q300972_w2K_sp3_x86_en.exe nu downloaden
Voor meer informatie over het downloaden van Microsoft-ondersteuningsbestanden klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
119591 How to Obtain Microsoft Support Files from Online Services
Releasedatum: 18 juni 2001

Microsoft heeft bij het uploaden van dit bestand de meest recente antivirussoftware gebruikt om het bestand te controleren op virussen. Na het uploaden is het bestand ondergebracht op beveiligde servers die elke onbevoegde wijziging aan het bestand verhinderen.

OPMERKING: klanten die deze patch toepassen op Windows 2000-computers waarop Windows Management Instrumentation (WMI) wordt uitgevoerd, moeten wellicht ook een extra hotfix toepassen. Hoewel dit probleem niets te maken heeft met deze patch, kan een bekend probleem tot gevolg hebben dat het WMI-proces (Winmgmt.exe) niet meer reageert (hangt) en 100 procent van de processorbronnen en het geheugen verbruikt als een programma de Win32_QuickFixEngineering-objecten opvraagt. Dit kan bijvoorbeeld gebeuren wanneer Microsoft Systems Management Server (SMS) bij WMI opvraagt welke hotfixes zijn toegepast. Als u meer informatie wilt over het oplossen van dit probleem, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
279225 WMI Win32_QuickFixEngineering Queries Cause Winmgmt Process to Hang
De Engelse versie van deze correctie moet de volgende (of latere) bestandskenmerken hebben:
   Datum        Tijd   Versie         Grootte  Bestandsnaam
   --------------------------------------------------------
   24-May-2001  16:29  5.0.2195.3645  121,104  Idq.dll
OPMERKING: vanwege afhankelijkheden tussen bestanden is voor deze correctie Microsoft Windows 2000 Service Pack 1 of later vereist.

Windows NT 4.0 Server

U kunt dit probleem oplossen met de hieronder vermelde correctie of met Windows NT 4.0 Security Rollup Package. Als u meer informatie wilt over de SRP, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
299444 Post-Windows NT 4.0 Service Pack 6a Security Rollup Package (SRP)
U kunt het volgende bestand downloaden vanaf het Microsoft Download Center:
Deze afbeelding samenvouwenDeze afbeelding uitklappen

Downloaden
Q300972i.exe nu downloaden
OPMERKING: neem contact op met Product Support Services (PSS) voor de alfaversie van deze patch.

Voor meer informatie over het downloaden van Microsoft-ondersteuningsbestanden klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
119591 How to Obtain Microsoft Support Files from Online Services
Releasedatum: 18 juni 2001

Microsoft heeft bij het uploaden van dit bestand de meest recente antivirussoftware gebruikt om het bestand te controleren op virussen. Na het uploaden is het bestand ondergebracht op beveiligde servers die elke onbevoegde wijziging aan het bestand verhinderen.

De Engelse versie van deze correctie moet de volgende (of latere) bestandskenmerken hebben:
   Datum        Versie      Grootte  Bestandsnaam
   ----------------------------------------------
   03-Jul-2001  5.0.1782.4  193,296  Idq.dll
OPMERKING: vanwege afhankelijkheden tussen bestanden is voor deze correctie Microsoft Windows NT 4.0 Service Pack 6a vereist.

De oorspronkelijke Engelstalige patch-versie van deze correctie had de volgende bestandskenmerken:
   Datum        Versie       Grootte  Bestandsnaam
   -----------------------------------------------
   25-May-2001  5.00.1782.4  193,296  Idq.dll
OPMERKING: er is een nieuwe release van het bestand Idq.dll gepubliceerd om een probleem met de bestandsversie te verhelpen. Het versienummer van Idq.dll in de oorspronkelijke patch (van 25 mei 2001) was niet opgehoogd ten opzichte van de vorige build (van 25 januari 2001). Het versienummer voor beide releases was 5.0.1781.3. Een nieuwe versie van de patch is vrijgegeven op 2 augustus 2001, met een Idq.dll van 3 juli 2001, Het versienummer van dit bestand is 5.0.1782.4. Er zijn geen andere wijzigingen doorgevoerd in de nieuwe versie van de patch.

Als u de oorspronkelijke versie van deze patch hebt geïnstalleerd (versie 5.0.1781.3 van Idq.dll, met als datum 25 mei 2001), hoeft u de nieuwe versie (versie 5.0.1782.4 van Idq.dll, van 3 juli 2001) niet toe te passen omdat uw systeem al afdoende is beveiligd. Als de versie van het bestand Idq.dll op uw computer echter 5.0.1781.3 is, met als datum 25 januari 2000, moet u wel overstappen op de nieuwe versie van de patch.

Windows NT Server 4.0, Terminal Server Edition

Index Server 2.0 maakt deel uit van het Windows NT 4.0 Option Pack, dat niet wordt ondersteund in Windows NT Server 4.0, Terminal Server Edition. Patches voor Index Server 2.0 vormen onderdeel van het Security Rollup Package (SRP) voor Windows NT Server 4.0, Terminal Server Edition. Dat geldt echter alleen voor klanten die het Option Pack hebben geïnstalleerd om hun computers te beveiligen tijdens de migratie naar een ondersteund besturingssysteem. Als u meer informatie wilt over de SRP, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
317636 Windows NT Server 4.0, Terminal Server Edition, Security Rollup Package

Status

Microsoft heeft bevestigd dat dit probleem een vermindering van de beveiliging in Microsoft Windows 2000 en Windows NT Server 4.0 kan veroorzaken.

Meer informatie

Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over het verkrijgen van een hotfix voor Windows 2000 Datacenter Server:
265173 The Datacenter Program and Windows 2000 Datacenter Server Product
Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over het installeren van meerdere hotfixes met slechts één keer opnieuw opstarten:
296861 QChain.exe gebruiken om meerdere hotfixes te installeren, waarbij de computer maar één keer hoeft te worden opgestart

Eigenschappen

Artikel ID: 300972 - Laatste beoordeling: maandag 24 februari 2014 - Wijziging: 5.1
De informatie in dit artikel is van toepassing op:
  • Microsoft Index Server 2.0
  • Microsoft Internet Information Server 4.0
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows Indexing Service 2.0
  • Microsoft Internet Information Services 5.0
Trefwoorden: 
kbnosurvey kbarchive kbqfe kbhotfixserver kbbug kbfix kbsechack kbsecurity kbsecvulnerability kbwin2000presp3fix kbwin2000sp3fix kbwinnt400presp7fix KB300972

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com