Update behebt Schwachstelle in Microsoft ISA und Proxy Server

Zum Patchday hat Microsoft nur ein einziges Update veröffentlicht. Das dazugehörige Security Bulletin MS04-039 beschreibt einen Fehler im DNS-Cache von Microsofts Proxy Server 2.0 mit Service Pack 1 und dem Internet Security and Acceleration Server 2000 (ISA) mit Service Pack 1 sowie Service Pack 2. Der ISA Server 2004 ist nicht betroffen. Für die Sicherheitslücke im Internet Explorer, über die auch die Würmer MyDoom.AI und .AH eindringen, hat Microsoft noch kein Update bereit gestellt.

Laut Bulletin kann ein Angreifer den Fehler ausnutzen, um Anwender auf falsche Web-Seiten umzuleiten. Der Grund liegt in der Art, wie die genannten Produkte mit Reverse DNS Lookups umgehen. Reverse Lookups dienen der Zuordnung eines Rechnernamens zu einer gegebenen IP-Adresse. Genau andersherum funktioniert die normale Namensauflösung mit DNS (forward lookup): Der Name ist bekannt, die IP-Adresse aber nicht. Bei Reverse Lookups gibt der Nameserver -- der für den angefragten IP-Adressraum zuständig ist -- den Rechnernamen zurück. Ist ein Angreifer im Besitz einer Domäne, für die er auch einen eigenen (authorative) Nameserver betreiben darf, so kann mit den Reverse-Lookup-Antworten beliebige Namen zurückgeben -- auch wenn diese gar nicht zu seiner Domäne gehören. Dieser Umstand allein macht noch keine Sicherheitslücke.

Die Schwachstelle resultiert nun daraus, dass der ISA und Proxy Server die Ergebnisse der Reverse Lookups zwischenspeichern (DNS-Caching) und sie zur normalen Namensauflösung heranziehen, statt eine neue Anfrage zu starten. Ein Angreifer kann so sein Opfer etwa mit einer HTML-Mail, die einen Link auf die IP-Adresse enthält, auf seinen Webserver locken. Bei der Anfrage liefert er den falschen Namen zurück, beispielsweise www.sicherebank.de. Versucht das Opfer nun später www.sicherebank.de zu besuchen und benutzt dazu den Servernamen, so liefern der ISA oder Proxy Server die falsche IP-Adresse zurück -- das Opfer landet auf der falschen Seite, ohne es zu merken. Mit gut nachgemachten Seiten kann der Angreifer dem Besucher eventuell Bankverbindungsdaten und andere Informationen entlocken. Allerdings wird es dem Angreifer nicht gelingen, das SSL-Zertifikat einer Bank zu fälschen. Anwender sollten also bei unverschlüsselten Verbindungen zur Bank oder Fehlermeldungen stutzig werden.

Microsoft stuft den Schweregrad der Sicherheitslücke als "Hoch" ein -- die dritthöchste Stufe von vier möglichen. Das Update behebt die Lücke, indem es die Arbeitsweise des DNS-Cache modifiziert. Als Workaround schlagen die Redmonder vor, die Größe des Caches auf Null zu reduzieren, womit er praktisch deaktiviert ist. Das Bulletin weist aber darauf hin, dass dies zu Leistungseinbußen bei der Namensauflösung im Netzwerk führen kann.

Siehe dazu auch: (dab)

• Security Bulletin MS04-039 von Microsoft