Durch eine Schwachstelle in der WebDAV-Funktion von Microsofts Internet Information Server 6.0 (IIS) können Angreifer auf Passwort-geschützte Verzeichnisse zugreifen, beliebige Dateien herunterladen und sogar hochladen. Dabei ist der Zugriff aber laut einem Bericht nicht auf WebDAV-Ordner beschränkt: sämtliche vom Webserver verwalteten Verzeichnisse sind betroffen. Ursache ist die fehlerhafte Verarbeitung von Unicode-Zeichen.
Nach Angaben des Entdeckers der Lücke, Nicolaos Rangos, führt beispielsweise ein Request mit dem folgenden Header dazu, dass der IIS eine eigentlich geschützte Datei aus einem normalen Ordner ohne Authentifizierung zurückliefert:

GET /..%c0%af/protected/protected.zip HTTP/1.1
Translate: f
Connection: close
Host: servername

Dabei wird der Slash "/" als Unicode-Zeichen %c0%af codiert, was die Sicherheitsfunktion offenbar übersieht und den Zugriff auf /protected/protected.zip gewährt. Die Option Translate: f aktiviert dabei die WebDAV-Funktion für normale Verzeichnisse. ASP-Skripte sollen sich auf diese Weise aber nicht herunterladen lassen, es sei denn, das Ausliefern von Quellcode ist explizit aktiviert.

Ein Angriff auf WebDAV-Ordner ist laut Rangos etwas komplexer, erlaubt dafür aber auch das Hochladen:

PROPFIND /protec%c0%afted/ HTTP/1.1
Host: servername
User-Agent: neo/0.12.2
Connection: TE
TE: trailers
Depth: 1
Content-Length: 288
Content-Type: application/xml










Standardmäßig ist WebDAV nicht aktiviert. Wer es dennoch aktiviert hat, sollte es abschalten oder Zugriffe aus dem Internet unterbinden, bis weitere Informationen und eine Lösung für das Problem vorliegen.

Eine ähnliche Lücke in IIS fand sich im Jahre 2000 in IIS 4 und 5. Der Sicherheitsspezialist Thierry Zoller hat in seinem Blog einen Vergleich zwischen der alten und der neue Lücke angestellt.

Siehe dazu auch:

* IIS6 + webdav and unicode rides again in 2009
* IIS 6 + Webdav auth bypass and data upload,