Microsoft hatte im KB-Artikel 328832 einen Hack für den IIS 5.0 angegeben. Es geht darum, auf geschützte Dateien mittels der “hit-highlighting URL” zuzugreifen. In dem Fall können anonyme Benutzer ungehindert auf die Dateien zugreifen, da der Zugriffsschutz des IIS 5.0 mittels hit-hightlighting ausgehebelt wird.

In dem Knowledge-Base Artikel wurde eine Anleitung gegebene, wie sich dieser Schutz ausheben lässt. Leider wurde kein patch angeboten, sondern nur der Hinweis, man möge den IIS auf 6.0 aufrüsten. Dies erfordert jedoch ein Upgrade auf Windows Server 2003, auf Windows Server 2000 ist er nicht lauffähig. Mittlerweile hat Microsoft den Hack aus dem Netz genommen, auf diversen Seiten ist er jedoch immer noch auffindbar.

Hilfe zur Absicherung des IIS 5.0 in diesem Fall gibt es hier: http://isc.sans.org/diary.html?storyid=2915

Weitere Information auch bei Heise