Frontpage-Hacks

Eigentlich mag ich überflüssige Angliszismen überhaupt nicht, aber access log beschreibt Protokolldatei zu den Zugriffen auf meine Website wesentlich kürzer. Jedenfalls stehen in dieser Datei zwei Anfragen, die mich zuerst sehr beunruhigt haben:

/_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=6254&STRMVER=4&CAPREQ=0
/MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=6254&STRMVER=4&CAPREQ=0

Da ich keinen Windows-, sondern einen Linux-Server benutze, der keine Frontpage-Erweiterungen unterstützt, liefen die Anfragen mit dem Status 404 ins Leere. Beunruhigt haben mich die Anfragen trotzdem. Was, wenn jemand durch ein Exploit (schon wieder ein Anglizismus) Zugriff auf den Webserver haben möchte und jetzt alle Möglichkeiten durchprobiert? Viel habe ich zwar nicht zu bieten, aber Einblick in die Verzeichnisstruktur und eine gelöschte Datenbank wären schon ärgerlich.

Bei meinen Nachforschungen behaupteten Leute in Foren, dass der Nimbda-Wurm bei seiner Verbreitung unter anderem diese beiden Methoden genutzt haben soll. Das stimmte allerdings nicht und die Lösung ist absolut unspektakulär: Der Internet Explorer fordert auf einem Webserver die Dateien owssvr.dll und cltreq.asp an, wenn Microsoft Office installiert ist und Web Diskussionen aktiviert sind. Es besteht also kein Grund zur Beunruhigung.

Eine Suche nach owssvr.dll und cltreq.asp mit allen angegeben Parametern führt in beiden Fällen zu beinahe den gleichen Ergebnissen. Es werden die öffentlichen Logs von 420 Websites angezeigt.

5 Gedanken zu „Frontpage-Hacks

  1. Lars Kerschbaum

    Hi,

    bin der Sache auch nachgegangen. Mich hatten vor allem die mitübergebenden Parameter verunsichert. Daher habe ich es mal selbst ausgetestet.

    Bei installiertem Office und benutztem Internet Explorer plus eingeschalteter Diskussion-Toolbar (“Discuss”-Toolbar) werden automatisch die beiden Dateien (/MSOffice/cltreq.asp und /_vti_bin/owssvr.dll) angefordert (der Office Server Extensions).

    Wer es selber mal ausprobieren möchte einfach in der IE Toolbar auf den gelben Fleck in der Art eines Post-it-Notes klicken. Nun wird unten im Browser eine weitere Leiste eingeblendet, die sich aber später auch wieder schließen läßt – (x) klicken.

    Nun werden tatsächlich die beiden Anfragen plus den Parameteren in das Logfile geschrieben.

    /_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=6254&STRMVER=4&CAPREQ=0
    /MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=6254&STRMVER=4&CAPREQ=0

    Damit kann somit definitiv Entwarnung gegeben werden.

    In der Vergangenheit wurden ähnliche Anfragen als Exploits/Hacks benutzt für Sicherheitlücken in Frontpage, häufig im Kontext mit Exploits bzgl. AWStats. Auch hat der Nimda-Wurm (W32.nimda.a.mm) (entdeckt am 18.09.2001) diese Dateien durchaus zum Ziel gehabt:

    The worm seems to be targeting IIS 4 and 5 boxes and tests boxes for
    multiple vulnerabilities including:

    Almost all are get scripts, and a get msadc (cmd.exe)
    get_mem_bin
    vti_bin owssvr.dll
    Root.exe
    CMD.EXE
    ../ (Unicode)
    Getadmin.dll
    Default.IDA
    /Msoffice/ cltreq.asp

    The worm itself is a file called README.EXE, or ADMIN.DLL a 56K file
    which is advertised as an audio xwave mime type file.

    Weiterhin weist Microsoft auf sein Sicherheitspatch KB812708 (vom 11.11.03) hin, der für Office-XP-Webdienste eingespielt werden sollte. Dieser behebt insbesondere die Sicherheitsanfälligkeit für anonyme DoS-Angriffe (DoS = Denial of Service) bei Formularen sowie temporäre Dienstverweigerung (sog. Denial of Service) bei speziell formulierten Anforderungen an einen Server mit Microsoft SharePoint Team Services.

  2. Lennard Timm Artikelautor

    Deine Erklärung beschreibt gut die Wahrheiten, die zwischen all den Vermutungen auf etlichen Seiten stehen. Du warst auf jeden Fall geduldiger als ich bei deinen Nachforschungen, für mich war die Sache schon abgehakt, als ich gelesen habe, dass der Internet Explorer für den Aufruf der beiden Dateien sorgt.

    Etwas merkwürdig finde ich, dass der Benutzer nur die Leiste einzuschalten braucht und nicht z.B. in einem kleinen Fenster entscheiden kann, ob die Diskussionsfunktion aktiviert werden soll.

  3. Lars Kerschbaum

    Hi Lennard,

    Du könntest den Topic nun von “Frontpage-Hacks” in “IE Discuss-Toolbar LogFile Eintrag” umbenennen. Eignet sich dann aber kaum noch als Headline. :-)

    Evtl. sollte noch angemerkt werden, dass der übergebene Parameter immer identisch ist, unabhängig vom User. Und für den Fall, dass eben nicht genau diese Parameter übergeben wird handelt es sich mit sehr hoher Wahrscheinlichkeit um einen Exploit.

    Bzgl. deiner Anmerkung zur Aktivierung der Leiste: Aus Usability-Gründen (Bedienkomfort) finde ich die Implementierung (Art der Einbau der Funktionalität) wie sie ist absolut richtig. Als User möchte ich einfach ein Post-It anbringen können und daher muss vorher automatisch geprüft werden, ob dieser Service überhaupt zur Verfügung steht. Andererseits ist mir selbst kein einziger User bekannt der die Diskussions-Post-its überhaupt verwendet. Deren Unsichtbarkeit hat auch eine gewisse Parallele zu den Alternate Data Streams, die momentan hauptsächlich von Hijackern genutzt werden. Mehr dazu hier: http://www.heise.de/security/artikel/52139/0

  4. Lennard Timm Artikelautor

    Dein Einwand zur Usability ist völlig richtig, ich hatte nicht daran gedacht, dass ein zusätzliches Fenster die Sache noch verkompliziert.

    Ich frage mich, ob Microsoft mit dieser Technik einer Minderheit die Chance geben möchte, an Diskussion teilzunehmen und um damit etwas eigenes auf die Beine gestellt zu haben oder ob geplant war, Apache als Webserver von der Spitze zu verdrängen.

    Wenn ich richtig informiert bin, stellen 90% der Webserver über Apache ihre Inhalte bereit. Andererseits hat die Veröffentlichung von Firefox auch gezeigt, dass man einen Marktführer verängstigen kann — sofern das Neue besser funktioniert.

  5. Pingback: Apache Logfiles

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>