Ich frage mich, ob Microsoft mit dieser Technik einer Minderheit die Chance geben möchte, an Diskussion teilzunehmen und um damit etwas eigenes auf die Beine gestellt zu haben oder ob geplant war, Apache als Webserver von der Spitze zu verdrängen.

Wenn ich richtig informiert bin, stellen 90% der Webserver über Apache ihre Inhalte bereit. Andererseits hat die Veröffentlichung von Firefox auch gezeigt, dass man einen Marktführer verängstigen kann — sofern das Neue besser funktioniert.

Du könntest den Topic nun von “Frontpage-Hacks” in “IE Discuss-Toolbar LogFile Eintrag” umbenennen. Eignet sich dann aber kaum noch als Headline.

Evtl. sollte noch angemerkt werden, dass der übergebene Parameter immer identisch ist, unabhängig vom User. Und für den Fall, dass eben nicht genau diese Parameter übergeben wird handelt es sich mit sehr hoher Wahrscheinlichkeit um einen Exploit.

Bzgl. deiner Anmerkung zur Aktivierung der Leiste: Aus Usability-Gründen (Bedienkomfort) finde ich die Implementierung (Art der Einbau der Funktionalität) wie sie ist absolut richtig. Als User möchte ich einfach ein Post-It anbringen können und daher muss vorher automatisch geprüft werden, ob dieser Service überhaupt zur Verfügung steht. Andererseits ist mir selbst kein einziger User bekannt der die Diskussions-Post-its überhaupt verwendet. Deren Unsichtbarkeit hat auch eine gewisse Parallele zu den Alternate Data Streams, die momentan hauptsächlich von Hijackern genutzt werden. Mehr dazu hier: http://www.heise.de/security/artikel/52139/0

Etwas merkwürdig finde ich, dass der Benutzer nur die Leiste einzuschalten braucht und nicht z.B. in einem kleinen Fenster entscheiden kann, ob die Diskussionsfunktion aktiviert werden soll.

bin der Sache auch nachgegangen. Mich hatten vor allem die mitübergebenden Parameter verunsichert. Daher habe ich es mal selbst ausgetestet.

Bei installiertem Office und benutztem Internet Explorer plus eingeschalteter Diskussion-Toolbar (“Discuss”-Toolbar) werden automatisch die beiden Dateien (/MSOffice/cltreq.asp und /_vti_bin/owssvr.dll) angefordert (der Office Server Extensions).

Wer es selber mal ausprobieren möchte einfach in der IE Toolbar auf den gelben Fleck in der Art eines Post-it-Notes klicken. Nun wird unten im Browser eine weitere Leiste eingeblendet, die sich aber später auch wieder schließen läßt – (x) klicken.

Nun werden tatsächlich die beiden Anfragen plus den Parameteren in das Logfile geschrieben.

/_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=6254&STRMVER=4&CAPREQ=0
/MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=6254&STRMVER=4&CAPREQ=0

Damit kann somit definitiv Entwarnung gegeben werden.

In der Vergangenheit wurden ähnliche Anfragen als Exploits/Hacks benutzt für Sicherheitlücken in Frontpage, häufig im Kontext mit Exploits bzgl. AWStats. Auch hat der Nimda-Wurm (W32.nimda.a.mm) (entdeckt am 18.09.2001) diese Dateien durchaus zum Ziel gehabt:

The worm seems to be targeting IIS 4 and 5 boxes and tests boxes for
multiple vulnerabilities including:

Almost all are get scripts, and a get msadc (cmd.exe)
get_mem_bin
vti_bin owssvr.dll
Root.exe
CMD.EXE
../ (Unicode)
Getadmin.dll
Default.IDA
/Msoffice/ cltreq.asp

The worm itself is a file called README.EXE, or ADMIN.DLL a 56K file
which is advertised as an audio xwave mime type file.

Weiterhin weist Microsoft auf sein Sicherheitspatch KB812708 (vom 11.11.03) hin, der für Office-XP-Webdienste eingespielt werden sollte. Dieser behebt insbesondere die Sicherheitsanfälligkeit für anonyme DoS-Angriffe (DoS = Denial of Service) bei Formularen sowie temporäre Dienstverweigerung (sog. Denial of Service) bei speziell formulierten Anforderungen an einen Server mit Microsoft SharePoint Team Services.