Nach einer Meldung von Chip lässt es eine Lücke in den meisten Intrusion Detection Systems (IDS) zu, "Internet Information Server"-spezifische Verwundbarkeiten auszunutzen, ohne dabei entdeckt zu werden.

Betroffen sind lt Chip folgende Systeme: Cisco's Secure IDS, Cisco Catalyst 6000 IDS Module, ISS RealSecure Network Sensor 5.x and 6.x vor XPU 3.2, ISS RealSecure Server Sensor 6.x vor 6.0.1, ISS RealSecure Server Sensor 5.5, Dragon Sensor 4.x und Snort vor 1.8.1.

Der Trick soll dabei sein, dass das HTTP-Protokoll zwei Arten der Verschlüsselung bei der Übertragung auf einen Webserver zulässt. Microsofts Internet Information Server kennt aber drei Arten. Im Gegensatz zu den normalen Verschlüsselungen UTF oder HEX können an den IIS auch %u-verschlüsselte Daten gesendet werden. Während die ersten zwei Verschlüsselungen von den IDS entschlüsselt werden und so der Spion auffällt, werden die mit %u-verschlüsselten Daten erst vom IIS entschlüsselt und gelangen so durch das IDS. Wenn der Angreifer, zum Beispiel der Wurm "Code Red", einen String "index.id%u" sendet, wird dieser nicht als "index.ida" vom IDS gelesen, sondern erst auf dem Webserver IIS ausgeführt.

Da auch noch andere IDS betroffen seien können, empfiehlt Chip den Hersteller Ihres Systems zu kontaktieren, wenn Sie einen Internet Information Server einsetzen.