SicherheitslĂĽcke in Gruppenrichtlinien: Mit dem Patchen allein ist es nicht getan
Admins aufgepasst: Eines der am Februar-Patchday ausgelieferten Updates schützt nur, wenn man eine Reihe von Anweisungen befolgt. Tut man das nicht, bleibt die Infrastruktur für Man-in-the-Middle-Angriffe anfällig.
- Ronald Eikenberg
An seinem Februar-Patchday hat Microsoft zwei fatale Sicherheitspannen in Windows beseitigt, die mit der Verarbeitung von Gruppenrichtlinien zusammenhängen. Eine wichtige Information hat sich allerdings noch nicht überall herumgesprochen, wie heise Security in Gesprächen mit Admins feststellte: Mit der Installation der Patches ist es nicht getan, Admins müssen händisch Änderungen an den Gruppenrichtlinien vornehmen.
Man-in-the-Middle
Der Patch KB3000483 behandelt ein Sicherheitsproblem, durch das ein Angreifer auf den Clients beliebigen Code zur AusfĂĽhrung bringen kann. Es betrifft eine Funktion zum AusfĂĽhren einer Batch-Datei (etwa \\beispielfirma\NETLOGON\login.bat
) auf Windows-Clients, wenn sich dort ein Benutzer anmeldet. Ein Angreifer in der Position des Man-in-the-Middle kann den Abruf der Batch-Dateien abfangen und andere Skripte an die Clients schicken, die dann auch klaglos ausgeführt werden, weil der Client die Identität seines Gegenüber nicht ausreichend überprüft.
Neue Schutzfunktion, standardmäßig deaktiviert
Microsoft löst dieses Problem mit einer neuen Schutzfunktion, dem abgesicherten UNC-Zugriff (UNC Hardened Access). Darüber kann der Admin durch die Eigenschaft RequireMutualAuthentication festlegen, dass der Client die Identität des Servers überprüft, wobei ein Man-in-the-Middle auffliegen würde. Die Eigenschaft RequireIntegrity sorgt dafür, dass Server und Client Prüfsummen einsetzen, um die Integrität der Datenpakete zu überprüfen. Und mit RequirePrivacy kann die Verbindung sogar verschlüsselt werden.
Um in den Genuss des abgesicherten UNC-Zugriffs zu kommen, müssen Admins die neuen Funktionen in ihre Gruppenrichtlinien einbauen. Eine detaillierte Anleitung hierzu findet man bei Microsoft. Passiert das nicht, bleibt die Infrastruktur anfällig für die oben beschriebenen Man-in-the-Middle-Angriffe – selbst dann, wenn der Patch installiert ist. Das Problem betrifft alle Versionen von Windows und Windows Server.
Nutzer von Windows XP, 2000 und Server 2003 schauen allerdings in die Röhre: "Microsoft veröffentlicht kein Update für Windows XP, Windows Server 2003 oder Windows 2000. Die Architektur, die zur Unterstützung der im Update bereitgestellten Problembehandlung benötigt wird, ist auf Windows XP-Systemen nicht vorhanden", heißt es in Microsofts Advisory.
LĂĽcke ist 15 Jahre alt
Entdeckt hat das Sicherheitsproblem die US-Firma JAS. Das Unternehmen hat die Schwachstelle im Januar 2014 vertraulich an Microsoft gemeldet, ein gutes Jahr später hat der Windows-Hersteller mit dem abgesicherten UNC-Zugriff eine Lösung parat. Gegenüber Forbes erklärte JAS, dass die Lücke offenbar seit 15 Jahren in Windows klafft, Angriffe durch sie waren bis dahin nicht bekannt. (mre) / (rei)