SANS bestempelt IIS als meest onveilige Windows-software

SANS, een instituut dat computerbeveiligingstrainingen geeft, publiceert in zijn top 20 van meest kwetsbare internet-toepassingen dat IIS op het Windows-platform het meest kwetsbaar is. De software kan eenvoudig geveld worden door denial of service-aanvallen, en kan in sommige gevallen gevoelige gegevens blootleggen. Naast IIS, vinden we op de Windows-lijst onder andere MSSQL, Windows-aanmelding en Internet Explorer. De Unix Top 10 onveilige software wordt aangevoerd door het BIND Domain Name System, gevolgd door RPC en de veel gebruikte Apache-webserver. Hier volgt nog even een klein stukje historie van de SANS Top 20:

Three years ago, the SANS Institute and the National Infrastructure Protection Center (NIPC) at the FBI released a document summarizing the Ten Most Critical Internet Security Vulnerabilities. Thousands of organizations used that list, and the expanded Top Twenty lists that followed one and two years later, to prioritize their efforts so they could close the most dangerous holes first. The vulnerable services that led to the examples above Blaster, Slammer, and Code Red, as well as NIMDA worms - are on that list.

Reacties (60)

Verwijderd 11 oktober 2003 23:04

Voordat iedereen gaat lopen mekkeren hierzo dat het allemaal niet eerlijk is omdat zijn/haar OS natuurlijk wel safe is... lees het artikel even verder.

Naast de top20 staan er namelijk ook allemaal tips en links in om de vulnerabilities van het desbetreffende OS en de vulnerable applicatie zo ver mogelijk terug te brengen. Geweldige service, en helemaal gratis.

Er wordt hier duidelijk gesproken over applicaties in hun originele configuratie of met heel erg minimale configuratie. Bijvoorbeeld ik ken weinig mensen die apache in een aparte chroot laten draaien, want het is niet makkelijk en kost tijd. Door deze stap over te slaan zet je deuren alweer een beetje meer open. En zo kan je doorgaan.

Ik vind dit een hele realistische top 20 (of eigenlijk 2 top 10's).

Bart B @Verwijderd • 12 oktober 2003 00:41

Hier ben ik het nu helemaal mee eens!

Als je ook het artikel even snel doorbladert, dan zie je heel duidelijk, dat je systeem zo veilig is als je het maakt. voorbeelden die op de site gegeven worden zijn:

1) wachtwoorden (lengte, gebruik er van)
2) patches installen
3) uitzetten van features die je niet nodig hebt

MS Internet Explorer
* custom level Security

MS Outlook: een quote:
Since it is the human element that is often the weakest link in the security process, it is important to follow some Best Practice guidelines when dealing with electronic mail.

P2P Software: een quote:
Regular users should not be able to install any software, especially peer to peer applications.

Eigenlijk maakt het niet uit hoe goed je je computer beveiligd, als je er een heel dom (of slim) persoon achter zet, krijgt deze het systeem wel om zeep (trekt de stekker er uit, of download een leuk spelletje van een site, waarbij de waarschuwing van de virusscanner genegeerd wordt).

Ik denk dat veiligheid een heel erg relatief begrip. Ik denk dat de computer van de gemiddelde tweaker best redelijk onveilig is. Natuurlijk, we draaien allemaal een firewall, maar als we een server hebben (apache of IIS) dan moeten daar wel leuke uitbreidingen bij (PHP) of leuke CGI-dingetjes (ja... ik ben er ook zoeen). We draaien allemaal mailservers, SSH & en nog een verzameling toeters en bellen.

afterburn 11 oktober 2003 21:45

Waarom wordt er in de titel nou gelijk weer over MS/IIS gesproken, terwijl het artikel zelf gewoon algemeen is? Is het zo moeilijk een catchy titel te verzinnen die niet tendentieus is? De berichtgeving hier gaat steeds verder achteruit

.Vroegah werd iig op zijn minst nog de schijn van onpartijdigheid/objectiviteit opgehouden. Dat mensen, inclusief nieuwsposters/redactie een eigen voorkeur hebben is normaal, maar in tegenstelling tot ons, horen de laatsten te streven naar onpartijdige en objectieve berichtgeving.

Verwijderd @afterburn • 11 oktober 2003 23:18

resultaten behaald in het verleden bieden geen garantie voor de toekomst

on-topic. je hebt wel een beetje gelijk, het artikeltje is een tikkie smaakmakend (lees gepeperd).

de 'servermarkt' wordt ook veel te makkelijk als één geheel gezien, en het liefst als 'windows vs linux'.

voor elke toepassing zo z'n server zou ik zeggen. wel komt microsoft traditioneel gezien nogal wat arrogant over, maar dat gaat vergezeld met macht, weten we al sinds de grieken.

bind op 1 en apache op 3 worden even hard genoemd, en op 8 in de unix top-10 staat ssh, waar bij windows outlook op 8 staat.

overigens wordt p2p vooral onder windows (nummer 9) geplaatst, wat imho geen verwijt naar microsoft toe is, hooguit is p2p onder windows een veelgebruikte toepassing. verder staan bij unix sendmail (6), ssl(10) en misconfiguration(9) in het lijstje alsmede 'general accounts/no passwords'.

zie het meer als waarschuwing, probeer je systeem een beetje dicht te timmeren. microsoft vs unix is imho hier niet echt aan de orde.

raptorix @afterburn • 12 oktober 2003 01:41

Lol what else is new, bij tweakers kunnen ze alleen maar nablaten wat andere sites melden, en zelfs dat kunnen ze niet eens op een objectieve manier. Kan iemand me trouwens eens uitleggen waarom tweakers nooit zelf in staat is een artikeltje te schrijven?

grimson 11 oktober 2003 21:07

Tsja ... welke versie praten we hier over ?
IIS 5 ? of 6 ?
Wereld van verschil dacht ik ..
/edit

W1.2 Operating Systems Affected
Windows NT 4 (any flavor) running IIS 4
Windows 2000 Server running IIS 5
Windows XP Professional running IIS 5.1

At the time of this writing, no vulnerabilities have been reported in Windows 2003 running IIS 6; however, it is reasonable to anticipate that vulnerabilities will be found and reported as production environments adopt the new platform in significant numbers.

Lekker makkelijk rederneren.
Nix gevonden nog, maar annemen dat versie 6 ook maar onveilig is.

Trouwens, Windows 2003 wordt echt wel goed ingezet tegenwoordig.
http://news.netcraft.com/archives/2003/09/10/windows_server_2003_doubl es_active_sites_since_july_5_were_previously_running_linux.html

Verwijderd @grimson • 12 oktober 2003 00:16

In welk opzicht is er dan een verschil tussen IIS 5 en IIS 6 wat security betreft? Daar ben ik dan wel even benieuwd naar. Het onderliggende besturings systeem blijft toch een heel grote rol spelen bij de veiligheid van een applicatie..... En IIS (5/6) draait nu eenmaal alleen op Windows.

Roland684 @grimson • 12 oktober 2003 03:15

Trouwens, Windows 2003 wordt echt wel goed ingezet tegenwoordig

44 miljoen sites, waarvan er 175.000 win2003 gebruiken, dat is 0,4 procent... noem ik verwaarloosbaar.
5 providers hebben samen de helft van het marktaandeel win2003 in handen.

met zo weinig servers is het niet moeilijk om je marktaandeel te verdubbelen

Bart B @grimson • 12 oktober 2003 00:18

At the time of this writing, no vulnerabilities have been reported in Windows 2003 running IIS 6; however, it is reasonable to anticipate that vulnerabilities will be found and reported as production environments adopt the new platform in significant numbers.

Lekker makkelijk rederneren.
Nix gevonden nog, maar annemen dat versie 6 ook maar onveilig is.

Dat is helemaal niet zo verschrikkelijk gek om te denken hoor, want denk jij nu werkelijk dat heel IIS opnieuw gemaakt wordt? nee dus. De basis zal het zelfde blijven, waarmee de basis van alle problemen ook blijft bestaan

regmaster @Bart B • 12 oktober 2003 09:56

Dus jij hebt alle ins and outs van IIS 6 al bestudeerd dan? Je trekt een voorbarige conclusie zonder je in de materie verdiept te hebben. Lekker makkelijk.
II6 is namelijk compleet herschreven en werkt compleet anders dan IIS5. In de meeste gevallen zullen plugins die wel onder IIS5 werken dat niet meer onder IIS6 doen.
Het security schema is volledig anders.

Bart B @regmaster • 12 oktober 2003 11:28

Denk jij dat in een compleet nieuwe versie van IIS geen bugs voorkomen? nee! ze zullen dan iets anders zijn, maar aanwezig zijn ze zeker. Bij een hoop producten van MS moet je eigenlijk meteen beginnen met patches installen, en ik denk dat IIS daar geen uitzondering op is.

Verwijderd @grimson • 12 oktober 2003 11:51

Tsja, vergelijkbaar met MSSQL, de laatste 'attack' op deze database server, gold alleen voor SQL2000 en niet voor SQL7...
maar goed.
Dit lijstje geeft een beeld van welke software op welk besturingssysteem het meest kwetsbaar is.... en dat simpel gerelateerd aan de attacks en ook (jawel) aan de hoeveelheid patches die steeds als gevolg daarvan gepubliceerd zijn...

hwschuur 11 oktober 2003 20:34

hmz ik denk dat IIS vrij veilig is; zolang je updates maar consequent en tijdig installeert.

Ik denk dat vooral de stabiliteit van IIS discutabel is, vooral in combinatie met bijvoorbeeld Visual Studio .NET (2003 oid). Een paar keer achter elkaar een ASP.NET-project compilen en tegelijk een virtual directory aanmaken én IIS resetten maakt deze service niet echt stabiel. Ik ben van mening dat dat toch wel moet kunnen

Roland684 @hwschuur • 12 oktober 2003 03:15

hmz ik denk dat IIS vrij veilig is; zolang je updates maar consequent en tijdig installeert.

Natuurlijk mag je een eigen mening hebben, maar de experts zijn het hierover dus niet met jou eens. Over iets wat de experts aanduiden als "meest onveilige" gaan vertellen dat het volgens jou "vrij veilig" (of vrij niet

) is , zonder enige onderbouwing, lijkt me niet goed voor je geloofwaardigheid.

CmdrKeen @Roland684 • 13 oktober 2003 17:01

"De experts" zijn niet meer wat ze geweest zijn. Al die experts spreken elkaar dagelijks tegen. Je *moet* dus wel op je eigen ideeën afgaan.

mvt @Roland684 • 13 oktober 2003 17:13

Ze zeggen dat het het mest onveilige is, niet of het onveilig is.
Als je moet zeggen wat het duurste is uit het rijtje mars, snickers, twix, blikje cola, dan kies je dan blikje cola. Maar betekend dat dat de cola gruwelijk duur is??

Verwijderd @hwschuur • 12 oktober 2003 11:58

da klopt inderdaad, en dat geven zij ook aan....

IISLock tool (en de daarbij behorende adviezen) is de beste die ik ooit geinstalleerd heb....
Let wel, ik ben de laatste tijd veel servers tegengekomen, beheert door 'experts' (tenminste...) en zie dan veel 'tips' niet uitgevoerd, zaken als remote beheer, printer spul ed. die standaard binnen IIS geinstalleerd worden, staan d'r nog vrolijk, terwijl je die bijna nooit nodig hebt. Ik draai ASP sites, ik heb dan alleen die ASP.dll's nodig, de rest kan weg. Gevolg, je sluit een heeeeeel groot deel van attacks hiermee uit.... Onveilig? Yep, misschien, maar na die wijzigingen een stuk minder....

Maar goed, dat geeft iid dat artikel verder wel aan. Goeie link trouwens, dank daarvoor richting de poster van dit gebeuren...

Fatamorgana @hwschuur • 11 oktober 2003 20:43

hmz ik denk dat IIS vrij veilig is; zolang je updates maar consequent en tijdig installeert.

Ik heb voor een opdracht dus pas IIS geinstalled en meteen alle patches er op gezet (tegen MSBLAST enzo). Gevolg, IIS doet het niet meer. Na uninstallen van de patches werkt ie gewoon weer.

Het is dus niet altijd even handig om de updates er altijd zomaar op te zetten helaas...

The Source 11 oktober 2003 20:37

De software kan eenvoudig geveld worden door denial of service-aanvallen

Een beetje goede DoS kan alles platleggen.

Hoe wordt de meest onveilig software gedefineerd? Door het aantal veiligheidslekker per jaar? Door het aantal beveiligde gegevens die ongeauthorizeerd verkregen kunnen worden? Het aantal installaties, of het aantal dat een patch gedownload is of zels het aantal niet gepatchte versies? Of wordt er ook nog rekening gehouden met het aantal gebruikers??

Maar het gaat kennelijk om het aantal keer dat een exploit misbruikt is... Imho niet echt een goede richtlijn om de titel "meest onveilige software" uit te delen.

Olaf van der Spek @The Source • 12 oktober 2003 11:31

Een beetje goede DoS kan alles platleggen.

Zo simpel is het niet. IMO mag DoS de server niet laten crashen en moet de server direct nadat de aanval gestopt is weer beschikbaar zijn.
Of de server crashed of niet zegt dus wel iets over de betrouwbaarheid.

YoNiE @The Source • 11 oktober 2003 20:46

doordat iedere scriptkiddie als eerste probeert op een IIS server in te breken

cc bcc @YoNiE • 12 oktober 2003 00:58

En als een scriptkiddie het kan is er toch wel iets mis met de beveiliging toch?

eamelink @cc bcc • 12 oktober 2003 13:16

In het geval van een (d)dos slaat dat natuurlijk nergens op.

Punica- @The Source • 12 oktober 2003 16:37

Je weet niet eens om wat voor DoS het gaat, dit heeft niks met bandbreedte te maken, maar een DoS door een bug in de software, door een bepaalde string naar het programma te sturen kan ie gaan hangen of crashen, dat is ook een DoS.

Alleen waarom Apache zo hoog staat snap ik niet, zo lek is dat tohc niet ?

ANdrode

@Punica- • 12 oktober 2003 19:43

geen enkel exploitable lek in ieder geval..
Toen die er laatst wel was, was er binnen 12 uur een onoficiele patch, en binnen 2 dagen zelfs nieuwe .deb's, die op de officiele patch gebaseerd waren

CmdrKeen @Punica- • 13 oktober 2003 17:05

Apache: a patchy server... Niet dat dat het een slechte webserver maakt hoor.. what's in a name

ANdrode

@The Source • 12 oktober 2003 08:41

door de schade die het veroorzaakt..

Je kan niet ontkennen dat code red, blaster, en varianten er op, minder schade hebben aangericht dan 'een bug in apache versie 1.3.27' die dan maar op een gedeelte van de hosts draait wegens de diversiteit van het platform, in tegenstelling tot ISS

Verwijderd @ANdrode • 12 oktober 2003 11:47

[zeikie]
ISS = schoonmaakbedrijf
IIS = MS webserver
[/zeikie]

LauPro @Verwijderd • 12 oktober 2003 14:50

Of wat dacht je van het International Space Station

.

http://spaceflight.nasa.gov/

Verwijderd 11 oktober 2003 21:28

De software kan eenvoudig geveld worden door denial of service-aanvallen
Voor een DoS aanval is vrijwel alle internet verkeer gevoelig voor dus hoeft het niet speciaal een zwakheid van IIS te zijn. Als het bedrijf die IIS deze goed beveiligd hoeft een DoS aanval geeneens effect te hebben.

en kan in sommige gevallen gevoelige gegevens blootleggen
ligt er ook aan hoe goed het door het bedrijf zelf beveiligd is. En als het al zo onveilig zou zijn komt ms over een maand met een patch om de beveiliging te verbeteren.

Naast IIS, vinden we op de Windows-lijst onder andere MSSQL
Deze programma's hoeven niet de meest onveilige programma's te zijn. Toevallig is het voor hackers nu popupair om deze systeemen te hacken omdat ze veel infomatie zouden kunnen bevatten, en andere systemen waar men mider op hacked maar veel gemakkelijker is zou dan beter beveiligd zijn

. Verschillende services hebben zo ook hun prioriteit.

Over een maand zal dit beeld allang weer veranderd zijn en helemaal wanneer ms weer met patches komt.

Roland684 @Verwijderd • 12 oktober 2003 03:15

Voor een DDos attack is vrijwel alles gevoelig, maar een DoS attack is prima af te weren. En het is natuurlijk helemaal een blamage als je sever ook na de aanval onbereikbaar blijft.

Natuurlijk ligt het er aan hoe goed een bedrijf beveiligd is, maar hoe goed een bedrijf beveiligd is ligt weer aan welke produkten ze gebruiken en hoe hard ze die beveiliging nodig hebben (ja, een minder druk behackt systeem is per definitie veiliger). En als je een zeer goed beveiligde dienst wilt opzetten, pak je dan een produkt wat onbekend is en niet de aandacht van (veel) hackers heeft, of pak je dan een produkt dat geplaagd wordt de bergen en bergen mensen die proberen dat produkt te kraken?

IIS heeft zijn reputatie zelf veroorzaakt doordat het ook goed mogelijk bleek om te slagen. Er was niet alleen de uitdaging, maar er was ook nog eens de beloning van het slagen. Het is niet "toevallig", zoals jij stelt, populair bij hackers.
Lockpicking (het openen van b.v. hangsloten) is een sport, compleet met officiële verenigingen etc. omdat het een uitdaging is en je ook kunt winnen, maar touwtrekken tegen een bulldozers is geen sport, het is gewoon niet leuk omdat je toch niet kunt winnen.

IIS is gewoon een bewezen onveilig produkt en het zal nog heel lang duren voordat ze daar van af zijn, mede doordat ze het zo populair hebben laten worden bij hackers. Tot die tijd is IIS gewoon een hele zwake schakel. Natuurlijk kun je inbraken vookomen door met allerlei extra beveiliging je site te beveiligen, maar dat verandert niets aan de veiligheid van IIS, maar verbetert enkel de veiligheid van de site als geheel. Als IIS zelf al veilig was geweest, had je die extra beveiliging niet eens nodig gehad.

swampy 11 oktober 2003 20:46

Technisch gezien, alle programma's die VAAK gebruikt worden voor online services lijken het onveiligste...het hangt eraf hoe je het bekijkt! Natuurlijk voeren de meest gebruikte programma's de lijsten aan....daar zijn de meeste gevallen gerapporteerd.

Kijk iets dat contact met de buitenwereld is levert inderdaad een gevaar op. Daar hoef je geen expert voor te zijn.

Maar lekken in Outlook enzo lijken mij gevaarlijker....bedrijven die door een lekke email client bestanden lekken over het internet enzo. Misschien gebeurt het minder maar ik vindt dat persoonlijk gevaarlijker.

Verwijderd @swampy • 12 oktober 2003 01:25

dan zou apache de onveiligste webserver moeten zijn.
( == de meest gebruikte webserver.)

Verwijderd @Verwijderd • 12 oktober 2003 12:04

daar gaat het hier niet om. Hier wordt getoond wat BINNEN een besturingssysteem het meest kwetsbaar is... is geen vergelijk MS<->Linux/Unix.

Apache komt trouwens ook in de top 3 voor.
In beide lijstjes komen dezelfde 'services' tegen op vergelijkbare posities (webserver, mail, remote access, ..) dus .... waarom iedereen zo over MS begint, Unix is nie veel beter.

Wat ik veel vreemder vindt is dat er bij Unix een service op plaats 10 staat die juist NOOIT 'vulnerable' moeten zijn, nl SSL...

The Noid @Verwijderd • 12 oktober 2003 12:34

Tsja, als je een top10 maakt moet er iets op 1 staan... Ze zouden ook een top10 van alle software moeten maken.

Verwijderd @Verwijderd • 12 oktober 2003 15:46

Op 3 bij Windows , een puntje er uit gelicht...

The operating system or additional software creates administrative accounts with weak or nonexistent passwords.

Windows is out of the box ook niet zo secure.
Als men probeert wel enige maat van security toe te passen. Wordt dit op termijn afgestraft , door een corrupte register als men tracht onder een user account wat te installeren. De software moet dit niet afvangen, maar het OS moet dit afvangen.
Windows wordt naar mijn mening ook vaak ten onrechte als makkelijk bestempeld.
Als je default al alle permissies hebt is het ook makkelijker om een software pakket te installeren (dus ook een virus

)
Als default alle services aan staan , doet alles het ook.
Als er default geen firewall aan staan, heb je niet zoveel problemen met het i-netten. (Een virus , of een hacker heeft dan ook minder problemen met jouw pc

Een gebruiker zonder privileges, register keys vrijgeven zodat die normaal MSN, Outlook 97 onder Windows 2000 kan gebruiken noem ik niet echt simpel.
Dus...
waarom iedereen zo over Unix begint, MS is nie veel beter.

BlaTieBla 12 oktober 2003 12:11

is IIS onveilig of al die plug-ins (en combinaties ervan)? Ik draai al jaren IIS en nog nooit iets mee aan de hand geweest. Nooit last van een worm of ander ongedierte gehad.
Alle onzin (indexing, frontpage extensions etc) meteen verwijderd. Bij mij draait IIS als webserver only.
IIS is onveilig omdat er zoveel zaken standaard invloed hebben op die service (een ketting is zo sterk als de zwakste schakel).
Door middel van kennis kan je als beheerder de zwakke schakels identificeren en dus onschadeljik maken. Indien dit vanwege bepaalde vereiste functionaliteit niet mogelijk is, zal je een risico analyse moeten maken (en bijhouden). Alleen dan hou je de zaak in de hand. En alleen op die manier ga je goed om met welke software dan ook.

imagica @BlaTieBla • 13 oktober 2003 08:02

[Beetje offtopic]
Heb je de logs wel eens bekeken op je IIS server ?

Ik lange tijd op IIS/NT4 gedraaid en later op Apache/Linux, als ik de logs vergelijk tussen deze 2 had ik in de IIS logs een enorme hoeveelheid Žexploit scansŽ terwijl ik dat op de Apache servers niet heb, imho komt dit omdat scriptkids makkelijker de exploits van IIS kunnen gebruiken dan die op Apache.

Mijn 2 cent.

BlaTieBla @imagica • 13 oktober 2003 10:41

Die logs laten alleen maar zien wat ze proberen. Uiteindelijk gebeurt er toch niets, omdat er gewoonweg geen exploits te benutten zijn. Dit is weer het gevolg van goed systeembeheer.

Verwijderd 12 oktober 2003 12:37

Als je het artikel leest gaat het niet speciaal over windows, waarom moet dat dan wel in de titel. Er wordt namelijk gewoon een opsomming gegeven van onveiligheden alle relevante platforms.

Top Vulnerabilities to Windows Systems

W1 Internet Information Services (IIS)
W2 Microsoft SQL Server (MSSQL)
W3 Windows Authentication
W4 Internet Explorer (IE)
W5 Windows Remote Access Services
W6 Microsoft Data Access Components (MDAC)
W7 Windows Scripting Host (WSH)
W8 Microsoft Outlook Outlook Express
W9 Windows Peer to Peer File Sharing (P2P)
W10 Simple Network Management Protocol (SNMP)
Top Vulnerabilities to UNIX Systems

U1 BIND Domain Name System
U2 Remote Procedure Calls (RPC)
U3 Apache Web Server
U4 General UNIX Authentication Accounts with No Passwords or Weak Passwords
U5 Clear Text Services
U6 Sendmail
U7 Simple Network Management Protocol (SNMP)
U8 Secure Shell (SSH)
U9 Misconfiguration of Enterprise Services NIS/NFS
U10 Open Secure Sockets Layer (SSL)

Er staat nergens iets van een meetschaal, verder geven ze beveiligings training en sommen ze dus gewoon op waar ze ervaring mee hebben en mensen het meest fout confugureren on het minst van af weten.

Verwijderd 12 oktober 2003 12:39

Ik denk dat VALVe heel anders denkt over de onveiligste software binnen Windows (Outlook) ...

Op dit item kan niet meer gereageerd worden.

SANS bestempelt IIS als meest onveilige Windows-software

Lees meer

Reacties (60)

Sorteer op:

Weergave: