De Internet Information Server-software (IIS) van Microsoft is wederom getroffen door een beveiligingslek. De leverancier heeft inmiddels een oplossing uitgebracht (http://www.microsoft.com/security/bulletins/ms98-003.htm).
Het toevoegen van het commando ‘::$DATA’ aan bepaalde Internet-adressen van servers die op IIS draaien, levert de broncode van scripts op. Die software bevat vaak namen en wachtwoorden van gebruikers.
Deze nieuwste fout in IIS versie 3 is ontdekt door de Britse consultant Paul Ashton, die mede-moderator is van de NT Bug-traq-mailinglijst. "Dit geeft te denken over andere programmatuur die op Windows NT draait", meldt de onderzoeker. Het probleem doet zich voor bij de Active Server Pages (ASP) van Microsofts IIS, maar geldt niet voor versie 4 van die software. In Nederland gebruiken ondermeer de Amsterdamse beurs (AEX) en de Rabobank de betreffende programmatuur. De recent gekraakte Internet-provider World Online draait IIS 4.
De mate van onveiligheid waarin systemen met de oudere versie verkeren, is afhankelijk van de verdere interne opzet. "Je kan, misschien, toegang krijgen tot gebruikersnamen en wachtwoorden", zegt Russ Cooper, mede-moderator van Paul Ashton. Indien een websitebeheerder toegang tot bepaalde machines met vertrouwelijke informatie niet heeft afgeschermd, ligt het systeem redelijk open. Anders moeten hackers nog steeds elk afzonderlijk subsysteem zien te kraken.
