Microsoft

Jetzt ist es den Redmondern wieder passiert: Fehler im Produkt, (zu) schnell den Hotfix geschrieben, Fehler im Hotfix. Diesmal hat es Microsofts Implementierung von SNMP erwischt, in der ja vor kurzem einige Sicherheitslücken bekannt wurden (siehe iX 04/2002). Der passende Patch kam recht schnell; jedoch sah sich Microsoft Mitte März gezwungen, den Flicken für englische und deutsche NT-4.0-Terminal-Server-Installationen wieder zurückzuziehen. Alle anderen Betriebssysteme (und Sprachversionen) sind nicht von diesem Missgeschick betroffen, wohl aber vom ursprünglichen Problem. Mittlerweile ist eine verbesserte Version des Hotfixes für die beiden oben erwähnten Systeme verfügbar (Q314147).

Zwei Sicherheitslücken gibt es in verschiedenen Implementierungen von SMTP zu melden: Eigentlich sollte die SMTP-Version, die der Internet Mail Connector von Exchange 5.5 verwendet, ebenso wie jene, die sich im Lieferumfang von Windows 2000 befindet, keine E-Mails von nicht angemel-deten Benutzern annehmen. Leider haben bei beiden Implementierungen die Entwickler der NTLM-Authentisierung geschlampt; und so eignen sich beide als so genannte ‘anonymous relay server’, als E-Mail-Server, über die jedermann beliebig E-Mails verschicken kann. Dabei handelt es sich nicht direkt um eine Sicherheitslücke, allerdings kann jeder, der Spam verschicken möchte, es auf diesem Weg recht leicht tun. Abgesehen von den Nebeneffekten eines solchen Missbrauchs - wie zusätzlicher Netzverkehr - kann dem betroffenen Server selbst aber nicht geschadet werden.

Im Gegensatz dazu können böswillige Mitmenschen die zweite SMTP-Sicherheitslücke ausnutzen, um einen DoS-Angriff auf betroffene Maschinen auszuführen. Es handelt sich dabei um einen Fehler bei der Behandlung des SMTP-Verbs BDAT, das der Übermittlung großer MIME-Nachrichten dient. Den Aufruf dieses Kommandos mit bestimmten ungültigen Parametern verkraftet der SMTP-Prozess nicht. Er stürzt ab, und der betroffene Server ist nicht mehr in der Lage, E-Mail zu empfangen oder zu versenden. Dieses Problem betrifft nur den mit Windows 2000 ausgelieferten SMTP-Service (und damit auch Exchange 2000); Exchange 5.5 ist nicht betroffen. Beide Hotfixes sind auf den Webseiten von Microsoft erhältlich (Q310669 und Q313450).

Microsofts Java-Laufzeitumgebung in der Version 4.0 weist ebenfalls zwei Sicherheitslücken auf. Beide sind nicht unkritisch. Die erste könnten Unbefugte ausnutzen, um vertrauliche Benutzerinformationen wie Passwörter auszuspähen, während die zweite es einem Angreifer ermöglicht, beliebigen Java-Code außerhalb der sogenannten Sandbox im Sicherheitskontext des angemeldeten Benutzers auszuführen.

Der erste Fall tritt nur auf, wenn der Benutzer einen Proxy-Server im Webbrowser eingetragen hat, hier ist ein ‘man in the middle’-Angriff denkbar, bei dem sämtlicher Datenverkehr zwischen Browser und Webserver unbemerkt über einen dritten Rechner geleitet und dort analysiert und verändert werden könnte. Das zweite Leck ist nicht ganz neu. Ein ähnliches Problem wurde im Oktober 1999 schon einmal gefunden und behoben. Und wie sonst in solchen Situationen stellt sich die Frage, warum der damalige Patch nur ein Symptom, nicht aber die eigentliche Ursache beseitigt hat.

Um beide Lecks zu stopfen, hat Microsoft eine neue Version der virtuellen Java-Maschine erstellt, die alle Benutzer unbedingt installieren sollten. Das betrifft auch all jene, die den Internet Explorer nicht verwenden (Q300845).

In der Windows-Shell, also jener Komponente, die dem Benutzer den Desktop zur Verfügung stellt und weite Teile der Interaktion zwischen Benutzer und Betriebssystem steuert, gibt es ein sicherheitsrelevantes Speicherleck, das Microsoft jetzt mit einem Hotfix zu dichten gedenkt. Es handelt sich dabei um einen Speicherbereich, der unter recht speziellen Umständen zum Überlaufen neigt, sodass dabei möglicherweise bösartiger Code in angrenzendes Memory schwappt. Dies könnte ein Angreifer ausnützen, um Aktionen im Sicherheitskontext des angemeldeten Benutzers auszuführen. Die Voraussetzungen dafür sind allerdings recht komplex und deren zufälliges Zustandekommen eher unwahrscheinlich. Wer sicher gehen will, installiert den erwähnten Patch (Q313829).

Noch einmal E-Mail: Immer mehr Benutzer wollen beim Versand sicher gehen und vertrauen auf Verschlüsselung und digitale Signatur. Für Outlook-Benutzer gibt es verschiedene Optionen: Zum einem beinhaltet Outlook ein entsprechendes Crypto-Modul, das auf S/MIME basiert, zum anderen gibt es diverse Plug-ins von weiteren Herstellern, die entweder ebenfalls S/MIME oder PGP unterstützen - gelegentlich sogar beides.

Nun ist es ja eine nicht gerade seltene Praxis, E-Mails mit Anhängen zu versehen. Diese angehängten Dateien können recht groß sein, und die Übermittlung großer Dateien kostet bekanntlich Zeit. Um dem Benutzer eben diese Zeit zu sparen, verhält sich eine Outlook-Installation, die mit einem Exchange-Server zusammenarbeitet, folgendermaßen: Sobald der Anwender die fragliche Datei an die E-Mail anhängt, beginnt das Programm, diesen Anhang im Hintergrund zum Server zu übertragen. So befindet sich der Großteil der Daten, die zu verschicken sind, bereits auf dem Server, wenn der Benutzer auf ‘Senden’ klickt, die verbleibende Übertragungszeit ist dadurch minimiert.

Dieses an sich ja recht angenehme Verhalten hat den Nachteil, dass Outlook den Anhang zunächst auch dann im Klartext über die Leitung schickt, wenn der Anwender seine E-Mail eigentlich mit einem Krypto-Plug-in verschlüsseln möchte; wenn auch nur im internen Netz bis zum nächsten Exchange-Server. In den Outlook-Versionen 2000 und 2002 lässt sich diese Funktion mittels Registry-Patch abschalten; die integrierte Krypto-Funktion ist nicht betroffen. Wer ein Plug-in eines anderen Herstellers verwendet, muss wohl auf dessen Hotfix warten. Zwei Softwarehäuser (Cryptovision und Glück & Kanja) stellen für ihre Produkte bereits einen Patch zur Verfügung.

Näheres zu den einzelnen Sicherheitsproblemen gibt es online. Die angegebenen KnowledgeBase-Artikel sind unter search.support.microsoft.com/kb erhältlich. Über die iX-Webseite sind alle bisherigen Ausgaben von ‘Windows Security’ zu erreichen. (wm)