Angebliche "High Risks" bei Securityspace

---

• From: "Marc Bastian" <marc-dot-bastian@xxxxxx>
• Date: Fri, 1 Apr 2005 20:31:49 +0200

---

Hallo NG,

bei Securityspace.com habe ich vor einigen Tagen unsere
Firewallkonfiguration testen lassen. Ein ISA 2004 regelt in 2. Stufe u.a.
den eingehenden SMTP- und HTTPS-Datenverkehr auf Applikationsebene. HTTPS
wird nur für Outlook Web Access verwendet welches über den ISA
veröffentlicht wird. Beim Audit wurden mir folgende zwei "Verwundbarkeiten"
genannt:
https://secure1.securityspace.com/smysecure/catid.html?id=15640 sowie
https://secure1.securityspace.com/smysecure/catid.html?id=11801

Auf Nachfrage welche Betriebssysteme überhaupt betroffen sein sollen wurde
dann folgendes Statement gegeben:

These are generic scripts that is platform independent, which is
why no particular OS or product is identified. For 15640, the
script invokes requests similar to
GET /%08x
GET /%s
GET /%08x%x%s%p%n%d%o%u%c%h%l%q%j%z%Z%t%i%e%g%f%a%C%S%08x%%x%%s%
and after issuing such a request, attempts to reconnect to the webserver
in question. If a reconnect fails (as in couldn't even open up a TCP/IP
socket to the server) it assumes the webserver has crashed.
Script 11801 is similar, except that the "GET" request itself
is replaced with format strings similar to those shown above, and
again, if we are unable to establish a new connection to the server
after issuing one of these requests, we assume the server crashed
and is vulnerable to a "method format URI attack".

Jetzt bin ich der Hoffnung dass eventuell der ISA die fehlerhaften Anfragen
"bemerkt" hat und darum nicht mehr geantwortet hat. Einen Crash des
Webservers hat es natürlich auch nicht gegeben. Kann mir hierzu jemand eine
´weitere Anregung geben?


Grüße,
Marc


.

---

• Follow-Ups:
  • Re: Angebliche "High Risks" bei Securityspace
    • From: Jens Baier

• Prev by Date: Re: Windows Server 2003 Service-Pack 1 und ISA2004
• Next by Date: Re: Windows Server 2003 Service-Pack 1 und ISA2004
• Previous by thread: Re: Elster und ISA 2004
• Next by thread: Re: Angebliche "High Risks" bei Securityspace
• Index(es):
  • Date
  • Thread

---

Relevant Pages Re: MS-SQL / General network error ... verschiedene durch einen ISA Server getrennt. ... Ich kann auch vom Webserver ohne Probleme auf den ... SQL Server verbinden, über DSN, Query Analyzer, etc. ... Es ist so, also ob der ISA Server zum Teil die Connections verwirft, aus ... (microsoft.public.de.german.isaserver) Re: Basic Question (dumb) regarding security ... It is not ok to host a public website on your SBS, but it is ok to host ... setup the network and the webserver properly so that only appropriate ... It would be less secure or meaningful to open more holes in ISA so ... Since ISA is an application server, ... (microsoft.public.windows.server.sbs) RE: 504 Proxy timeout only with SSL traffic ... We have two ISA 2004 Servers both at same level of service packs which is ... server for ISA 2004. ... access the HTTP but not HTTPS pages, can you access the HTTPS pages directly ... Can you access HTTPS pages locally on the webserver is what we need to look ... (microsoft.public.isa) Re: DNS Problem? ... Localhost zum Webserver erlaubt. ... Bin mit Hilfe vom Buch "Microsoft ISA Server ... Next by Date: ... (microsoft.public.de.german.isaserver) Re: OWA ... Server hochgezogen. ... >>, einen Exchange Frontend-Server im Intranet ... >> und einen ISA 2004 zwischen den beiden Firewalls im DMZ. ... Next by Date: ... (microsoft.public.de.exchange)

---

We are proud to have Web Hosting and Rack Housing from 9 Net Avenue Deutschland.
(17)