Microsoft

Vor Juni 2004 ist anscheinend nicht mit dem Servicepack 2 für XP zu rechnen, auch wenn diverse Betas seit einiger Zeit herumgeistern. Solange will man in Redmond dann nicht abstinent sein, und folglich gibt es auch für XP wieder einen neuen Security-Hotfix.

Betroffen sind erneut die Mirosoft Data Access Components (MDAC) in den Versionen 2.5 bis 2.8, die Teil des Lieferumfangs von Windows 2000, SQL 2000, XP und Server 2003 sind. Angreifer können beliebigen Code auf dem betroffenen Rechner ausführen, müssen allerdings vorgeben, ein SQL-Server zu sein und sich zudem noch im selben Broadcast-Segment wie das Opfer befinden. Wenn diese Umstände erfüllt sind, ist es ein Leichtes, jeder Anwendung, die MDAC verwendet, fremden Code unterzuschieben, den diese im eigenen Sicherheitskontext ausführt, schlimmstenfalls als „lokales System“. Das Problem ist nicht gerade neu, sondern wurde im letzen Spätsommer bereits diskutiert (siehe iX 10/03). Jetzt hat Microsoft den damaligen Fix gefixt - über den Grund schweigt man sich aus - und veröffentlicht (832483).

Auch folgendes Problem mit Outlook Web Access (OWA) ist nicht unbedingt neu: Benutzer, die sich über einen Frontend-Server auf ihre Mailbox verbinden, die auf einem Backend-Server liegt, können unter Umständen statt ihrem eigenen Posteingang den eines Kollegen angezeigt bekommen, der kurz zuvor seine Mailbox ebenfalls per OWA geöffnet hatte. Der Grund dafür liegt darin, dass eine Frontend-Backend-Konfiguration HTTP-Verbindungen, die bereits aufgebaut wurden, wiederverwendet. Normalerweise sollte das kein Problem sein, in einigen Konstellationen jedoch kann der beschriebene Effekt auftreten. Im vorliegenden Fall ist nur Exchange 2003 betroffen, Ähnliches gab es aber auch schon in Exchange-2000-Umgebungen.

Es lässt sich weder voraussagen, wann der Fehler auftritt, noch wessen Mailbox betroffen ist. Folglich ist diese Sicherheitslücke nicht sonderlich zum systematischen Ausspähen von kritischen Firmendaten geeignet. Trotzdem können die Wellen recht hoch schlagen, wenn der Vorstandsvorsitzende auf diese Art und Weise den Posteingang des Personalchefs zu Gesicht bekommt. Aus diesem Grund sei allen Exchange-Administratoren empfohlen, den Hotfix zu installieren (832759).

Der ISA-Server ist ja ein seltener Gast in dieser Kolumne, was allerdings kein Lob, sondern eine Selbstverständlichkeit sein sollte. Schließlich dient das Produkt dazu, Sicherheit zu schaffen und nicht neue Sicherheitslecks zu öffnen. Letzteres ist nun aber doch passiert, und zwar im H.323-Filter (H.323 dient der Übertragung von Audio- und Video-Verbindungen, sowohl Punkt-zu-Punkt als auch als Konferenz), der dummerweise noch standardmäßig eingeschaltet ist. Ein Pufferüberlauf ermöglicht einem Angreifer die volle Kontrolle über den ISA-Server zu erhalten, was unter Umständen katastrophal sein kann. Wer sich auf den ISA-Server zum Schutz seines LANs verlässt, könnte also gleich seine Internet-Verbindung in den lokalen Uplink-Port stecken.

Die geeignete Maßnahme wäre ein zweistufiges Firewall-Konzept, das zusätzlich zu ISA noch einen weiteren (Hardware-)Schutzwall vorsieht. Aber auch Administratoren, die eine solche Konstellation ihr eigen nennen, sollten dringend den Hotfix installieren - alle anderen sowieso (816458).

Für den Internet Explorer - der im Gegensatz zum ISA-Server recht häufig auf dieser Seite Thema ist - gibt es einen neuen „cumulative patch“, der gleich drei neue Sicherheitslücken verschließt und dabei alle bisher erschienenen Hotfixes enthält. Da wäre zunächst ein Problem in sogenannten „cross domain security model“, mit dessen Hilfe ein Angreifer Skript-Code im Sicherheitskontext der lokalen Maschine ausführen kann. Zweitens verschließt der Sammelflicken ein Sicherheitsloch, durch das es möglich ist, unbemerkt vom Anwender beliebige Dateien auf den betroffenen Rechner hochzuladen.

Das dritte nun behobene Leck betrifft die Adresszeile des Internet Explorers. Hier konnte man eine Adresse anzeigen lassen, die nicht der URL der Seite entspricht, die gerade vom Browser dargestellt wird. Unter Umständen eine kritische Situation, denn wer möchte schon gerne seine Homebanking-Credentials dem Betreiber einer osteuropäischen Hackerseite mitteilen und das im festen Glauben, den Webserver seiner Bank angesurft zu haben? Schon allein aus diesem Grund sollte jeder IE-Benutzer den aktuellen Hotfix schnellstens installieren. Leider ist damit die Möglichkeit unterbunden, Benutzername und Paßwort in der URL mitzuliefern (Adressen der Form http://user:password@hostname). Bleibt abzuwarten, wie viele Webangebote genau diese Art der Anmeldung verwenden und somit nach Installation des Patches nicht mehr funktionieren (832894).

Als Chronisten der Sicherheitsprobleme in der Windows-Welt müssen wir uns an dieser Stelle wohl auch dem „Mydoom“-Wurm widmen. Eigentliche eine furchtbar langweilige Sache, denn Mydoom ist weder originell noch innovativ. Eine E-Mail mit Attachment, das sich als infektiös entpuppt, so man es öffnet, ist eigentlich nur ein Gähnen wert. Allenfalls die verwendete Tarnung zeigt etwas Kreativität: der Wurm kommt als Systemmeldung eines E-Mail-Servers daher. Dabei ist er so überzeugend, dass selbst Administratoren, die eigentlich mit verseuchtem Zeug in der Inbox umgehen können sollten, das Attachment öffnen. Man sollte endlich überall dazu übergehen, direkt ausführbare Attachments auszufiltern und unter Quarantäne zu stellen. Zudem ist Benutzer bei Androhung einer vierwöchigen Computerabstinenz mit gleichteitiger Verbannung vor eine Schreibmaschine zu untersagen, andere als die ihnen bekannten Dateien und Programme zu öffnen.

Mydoom jedenfalls hat sein Ziel erreicht: zunächst eine möglichst hohe Verbreitung und dann am 1. Februar ein DoS-Angriff auf SCO. Da SCO in einigen Fällen eigene Urheberrechte durch die Verwendung von Linux verletzt sieht und deswegen vor Gericht gezogen ist, liegt der Schluss nahe, dass der Autor ein wirrer Weltverbesserer ist, der zum Mittel der Selbstjustiz gegriffen hat. Leider war er dabei erfolgreich. Eine zweite Version soll ein paar Tage später Microsofts Website angreifen. Darüber ist beim nächsten Mal zu berichten.

Näheres zu den einzelnen Sicherheitsproblemen gibt es online unter www.microsoft.com/technet/security. Die in Klammern angegebenen KnowledgeBase-Artikel sind unter support.microsoft.com erhältlich. Über die iX-Webseite sind alle bisherigen Ausgaben von „Windows Security“ zu erreichen. (wm)