Microsoft
- Christian Segor
Niemand soll sagen, er wäre nicht gewarnt gewesen. Den Hotfix zum Beheben der Sicherheitslücke in der RPC-Schnittstelle aller Windows-Produkte von NT 4.0 bis zum 2003-Server gibt es seit Mitte Juli. Die ersten Exploits erschienen nicht viel später, und am 31. Juli warnte der Holländer Steven Bink auf seiner Webseite (www.bink.nu) davor, dass in einschlägigen Foren Entwürfe für einen Wurm kursierten, der „Code Red und Slammer wie Kinderkram aussehen lässt“.
Da sich fast die gesamte nördliche Hemisphäre in den Sommerferien befindet und die Script-Kiddies somit alle Zeit der Welt haben, ist jene pessimistische Prognose vielleicht nicht ganz unwahrscheinlich. Tatsache ist, dass Microsoft am 16. Juli einen Patch veröffentlichte, der ein Sicherheitsleck in der Redmonder RPC-Implementierung schließt. Aufgrund eines Speicherüberlaufs kann jeder Angreifer, der Zugriff auf die Ports 135, 139 oder 445 hat, beliebigen Code auf dem betroffenen Rechner ausführen, im Sicherheitskontext „local system“, der bekanntlich Vollzugriff auf das gesamte System hat.
Die relevanten Ports sind im Intranet normalerweise immer offen; und die Erfahrung mit Slammer hat gezeigt, dass die Barrieren zwischen der großen weiten Welt und dem eigenen Netz in den meisten Fällen für effizient programmierte Würmer nicht allzu schwer zu überwinden sind. Gefährdet sind NT 4.0, Windows 2000 (auch mit Servicepack 4) und XP ebenso wie die 2003-Server (823980).
Wer diese Ports auf der Firewall blockiert, hindert potenzielle Angreifer auch gleich daran, ein weiteres Sicherheitsloch in der Microsoft-Implementierung von SMB/CIFS auszunutzen. Hier ist es aufgrund eines Pufferüberlaufs möglich, Daten auf Fileservern zu zerstören oder auf den betroffenen Rechnern beliebigen Code auszuführen. Allerdings verhindert ein Administrator mit dieser Maßnahme nicht nur eventuelle Angriffe, sondern leider auch sämtliches File-Sharing, sodass es doch eher empfehlenswert ist, den entsprechenden Patch zu installieren (817606).
Ebenfalls das Ausführen beliebigen Codes erlaubt eine Sicherheitslücke im so genannten HTML-Converter, der für das Konvertieren von HTML in RTF und zurück zuständig ist. Hier erhält der Angreifer allerdings keinen Zugriff auf den Sicherheitskontext des lokalen Systems, sondern nur auf den des betroffenen Benutzers. Opfer kann jeder werden, der auf einer entsprechend präparierten Webseite landet oder unvorsichtigerweise eine HTML-Mail unbekannten Ursprungs öffnet. Microsoft schlägt als Workaround vor, Active Scripting im Internet Explorer abzuschalten, was unabhängig von diesem konkreten Sicherheitsproblem immer eine gute Idee ist. Außerdem gibt es einen Hotfix, der das Problem behebt (823559).
In manchen Ordnern des Dateisystems stößt man auf eine versteckte Datei namens desktop.ini. Hier werden Informationen über die Darstellung des entsprechenden Verzeichnisses und dessen Inhalt hinterlegt; auf diese Art ist es beispielsweise möglich, einen Ordner mit einem anderen Symbol zu versehen. Um diese Funktion zu gewährleisten, versucht der Windows-Explorer beim Öffnen eines Ordners (und gegebenenfalls auch beim Öffnen des übergeordneten Verzeichnisses), die passende desktop.ini zu lesen. Befindet sich in der Datei eine bestimmte Zeichenkette, kommt es zu einem Pufferüberlauf im Explorer, und es besteht die Möglichkeit, beliebigen Code auszuführen. Betroffen ist allerdings nur Windows XP mit Servicepack 1: ein Hotfix stopft das Loch (821557).
Nicht nur in der Verzeichnisstruktur des Dateisystems lauern Gefahren, auch MIDI-Dateien sind nicht ganz ohne. Schuld ist ein Sicherheitsproblem in der DirectX-API, das Angreifern mittels entsprechend vorbereiteter Musikdateien Tür und Tor zu betroffenen Rechnern öffnet. Gemeinerweise reicht es aus, auf eine Webseite zu surfen, die eine solche MIDI-Datei enthält, deshalb sei der passende Hotfix allen Benutzern dringend empfohlen (819696).
Für den SQL-Server in den Versionen 7.0 und 2000 gibt es einen neuen „cumulative patch“, der drei neue Sicherheitslücken verschließt und nebenbei wie immer alle zuvor erschienenen Flicken enthält. Da dieser Hotfix verhindert, dass Benutzer sich weiterreichende Rechte verschaffen können als ihnen eigentlich zugedacht waren, sollte jeder Administrator eines SQL-Servers über eine Installation nachdenken (815495).
Näheres zu den einzelnen Sicherheitsproblemen sowie die angegebenen KnowledgeBase-Artikel gibt es online. (wm)
