Microsoft WebDAV

StartSeite

Microsoft WebDAV - Sicherheitslücken für Hacker & Black Hat.

Sicherheitslücken des Microsoft Data Access Internet Publishing.

WebDAV als Bestandteil von IIS birgt viele kritische Sicherheitslücken. Wurden die von Microsoft angebotenen Sicherheitsupdates nicht installiert, kann rein theoretisch jeder User über das Internet über HTTP-Ports diese Server Verwundbarkeit ausnutzen. WebDAV dürfte eines der größten und meist verbreiteten Computer Sicherheitsprobleme weltweit darstellen. Es hat sehr viele Diskussionen über die Verwundbarkeit von Rechnern über das Microsoft Data Access Internet Publishing Provider gegeben. Obwohl von Microsoft viele patches zur Verfügung gestellt wurden, ist WebDAV nach wie vor der beliebteste Angriffspunkt für Hacker und Black Hat. Für die Masse der Webmaster dürfte es unmöglich sein, mit eigenen Tests die Sicherheit der eigenen Server oder Shared Hosting Pakete zu testen. Hier geht es ins Eingemachte, zu kompliziert für die meisten Webworker. Selbst die als sehr sicher geltenden Server der US Army wurden am 11. März 2003 erfolgreich gehackt, eine Woche nachdem sie von einen Microsoft Sicherheitsberater freigaben wurden. Gerüchte über Hacker Großangriffe bewahrheiteten sich jedoch bis heute nicht. Ich bin mir aber sicher, daß viele bösartigen Implementierungen auf die Sicherheitslücken von WebDAV zurückzuführen sind. Weder meine User noch ich selbst benötigen WebDAV für meine Seiten, deshalb war es naheliegend einige Sicherheitslücken per htaccess zu schließen. Die Rewrite Regel

RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS|PUT|PROPFIND)
RewriteRule .* - [F,L]


schützt vor derartigen Server Request auf effektive Art und Weise. Somit werden nette Versuche wie der Folgende künftig konsequent mit eine 403 beantwortet:

"PUT /index.php HTTP/1.0" "PUT /index.htm HTTP/1.0" "PUT /index.html HTTP/1.0" "PUT /index.asp HTTP/1.0" "PUT /index.aspx HTTP/1.0" "PUT /welcome.php HTTP/1.0" "PUT /welcome.htm HTTP/1.0" "PUT /welcome.html HTTP/1.0" "PUT /home.htm HTTP/1.0" "PUT /home.html HTTP/1.0" "PUT /home.asp HTTP/1.0" "PUT /home.aspx HTTP/1.0" "PUT /default.php HTTP/1.0" "PUT /default.htm HTTP/1.0" "PUT /default.html HTTP/1.0" "PUT /default.asp HTTP/1.0" "PUT /main.php HTTP/1.0" "PUT /main.htm HTTP/1.0" "PUT /main.html HTTP/1.0" "PUT /main.asp HTTP/1.0" "PUT /main.aspx HTTP/1.0" "PUT /iisstart.asp HTTP/1.0" "PUT /iisstart.asp HTTP/1.0" "PUT /localstart.asp HTTP/1.0" "Microsoft Data Access Internet Publishing Provider DAV 1.1"


PROPFIND, HEAD und GET Anfragen durch Kopieren von Inhalten.

Harmlose PROPFIND, HEAD und GET Anfragen können durch jene Zeitgenossen erzeugt werden, die sich darauf spezialisiert haben, Webseiten Inhalte "zu verwerten". Wird der Content eines html Dokumentes in ein Word Programm wie das von Open Office per copy and paste eingefügt, erzeugen die eingefügten Links zu Bildern und Grafiken bei aktivierten WebDAV entsprechende Requests bei der Quellenseite.

"PROPFIND /images/bild.jpg HTTP/1.1" 403 - "-" "-"
"HEAD /images/grafik.gif HTTP/1.1" 403 - "-" "-"
"GET /images/foto.png HTTP/1.1" 403 - "-" "-"

Ähnliche Hits werden von WebDAV beim Bearbeiten von html Dokumenten mit Microssoft Office erzeugt. In den Webstatistiken sind diese Requests mit dem UserAgenten "Microsoft Office Protocol Discovery" und "OfficeLive Connector" oft zu finden. Während solche Requests problemlos per htaccess unterbunden werden können, kann sich der Webmaster gegen Urheberrechtsverletzungen leider erst wehren, wenn die vollendeten Tatsachen bereits als Plagiat im Internet sichtbar werden.

Mysteriöse Link oder iframe Einbindungen via WebDAV?

Manipulation durch iframe und Link Einbindung.

Viele Webmaster berichten von erfolgreichen Hacker Attacken auf ihren Webseiten. Oft werden Sicherheitslücken der diversen CMS Systeme, wie Joomla, Magento, Typo3, Blog und Foren Scripte wie Wordpress, QuickBlogger, phpBB etc. sowie vor allem deren Erweiterungen, Templates und Plugins dafür verantwortlich gemacht. Eine weitere Möglichkeit wäre das Ausspionieren der FTP Zugangsdaten und eine gezielte Manipulation von Datensätzen. Grund der Hackerangriffe sind im wesentlichen zwei Zielstellungen:

• Black Hat Webmaster platzieren unbemerkt Links auf fremden Webseiten um die Linkpop eigener Projekte automatisiert zu erhöhen oder einen Konkurrenten mit Bad Neighborhood Links aus den SERP zu schießen.

• Iframe Einbindungen die beim Aufruf der Webseite Scripte von Drittanbietern nachladen. Bei populären Seiten können auf diese Weise Viren, Trojaner und Keylogger schnell im Web verbreitet werden, die wiederum Basis und Vorhut für weitere Angriffe darstellen können.

Natürlich sind die index Dateien, also die Startseiten das beliebteste Angriffsziel. Um die iframe Einbindungen der Marke src="http://URL.tld:8080/index.php" vor den Seitenbetreiber und User zu verbergen, werden sie in der Regel mit dem Atribut visibility hidden versehen. Manuelle Manipulation halte ich in den meisten Fällen für unwahrscheinlich. Die Black Hat Szene ist grundsätzlich faul und setzt auf automatisierte Prozesse nach dem Motto: Klotzen und nicht Kleckern! Die Nutzung der Sicherheitslücken von WebDAV erscheinen mir für diese Angriffe sehr wahrscheinlich. In regelmäßigen Zeitintervallen durchgeführte Webseiten Backups, sollten betroffene Webmaster in die Lagen versetzen, unkompliziert und schnell den sauberen Status wiederherzustellen. Zudem kann man die komprimierten Backup Dateien auf den Lokalen Rechner speichern, entpacken und mit einem Html-Editor auf typische code-Spuren durchsuchen. Das empfiehlt sich besonders bei Webseiten, die mit älteren bzw. nicht aktualisierten PHP-Scripten betrieben werden.

Eine sehr ausführliche Dokumentation (englisch) über die Sicherheitslücken von WebDAV liefert:   klcconsulting.net