Weitere Fehler in SP2-Sicherheitsfunktion

Mit dem Service Pack 2 für Windows XP hat Microsoft den Zugriff auf so genannte Raw Sockets beschränkt. Damit wolle man es Schadprogrammen erschweren, "verteilte DoS-Angriffe zu starten oder Pakete mit gefälschten Absenderadressen zu verschicken" (siehe Microsofts Dokumentation zu Änderungen in SP2).

Über Raw Sockets kann ein Programm IP-Pakete quasi von Hand zusammenstellen und somit beispielsweise halboffene Verbindungen erzeugen (Syn-Flooding) oder Absenderadressen manipulieren. Diese Möglichkeiten nutzen viele Trojaner, die zum Beispiel als ferngesteuerte Bots fremde Server attackieren. Neben Schädlingen sind allerdings auch Netzwerk-Tools wie der Portscanner Nmap auf Raw Sockets angewiesen. Solche Tools funktionieren mit SP2 nur noch eingeschränkt.

Durch Hinweise von Holger Lembke hat heise Security festgestellt, dass diese Schutzfunktion fehlerhaft implementiert ist. Lembke bemerkte bei der Arbeit an 3d Traceroute, dass nach dem Aufruf von

net stop SharedAccess

der Zugriff auf Raw Sockets wieder funktioniert. Dieses Kommando deaktiviert unter anderem den eingebauten Firewall-Service von XP. Aber auch nmap-Aufrufe wie:

nmap -sS <somehost>
nmap -sU -S 1.2.3.4 -e eth0 <somehost>

die einen so genannten halboffenen Syn-Scan durchführen beziehungsweise UDP-Pakete mit gefälschten Absenderadressen verschicken, arbeiten danach, als wäre Service Pack 2 nicht installiert. Mit den erforderlichen Administratorrechten könnten folglich auch Trojaner den Firewall-Dienst beenden und Raw Sockets wieder für Angriffe nutzen. heise Security hat Microsoft über das Problem unterrichtet. Das Microsoft Security Response Center bestätigte den Fehler, sieht darin aber kein Sicherheitsproblem. Dennoch wolle man den Fehler baldmöglichst beseitigen.

Siehe dazu auch: (ju)

• Flaws in SP2 security features, part II auf heise Security