Microsoft erklärt siebenjährige Patch-Verspätung
Ein Patch für die SMB-Lücke hätte wahrscheinlich zum Ausfall sämtlicher Netzwerkanwendungen geführt. Über die Jahre habe der Konzern genug Erfahrungen für einen Patch gesammelt, der Änderungen am SMB-Protokoll ohne negative Effekte vornimmt.
- Daniel Bachfeld
"Wieso hat Microsoft die Anfälligkeit für SMB-Replay/Reflection-Attacken in Windows erst jetzt gepatcht, obwohl das Problem seit 2001 bekannt ist?" Diese Frage mussten sich die Redmonder seit dem vergangenen Patchday mehrfach gefallen lassen. Bei solchen Angriffen sendet der Betreiber eines manipulierten SMB-Servers die NTLM-Login-Credentials eines zuvor auf seinem Server versuchten Logins an sein Opfer zurück, um so Zugriff auf dessen PC zu erhalten und dort Programme auszuführen.
Christopher Budd vom Security Team hat die Frage nun im Blog des Microsoft Security Response Center (MSRC) beantwortet. Demzufolge hätte ein Patch aus damaliger Sicht äußerst negative Folgen für die Netzwerkanwendungen gehabt. Laut Budd hätten wahrscheinlich mehrere Anwendungen gar nicht mehr funktioniert oder miteinander kommunizieren können wie Outlook 2000 und der Exchange Server 2000. Zwar habe Microsoft besorgten Kunden geraten, das SMB Signing als Workaround zu aktivieren, in der Praxis habe aber auch das zu Problemen geführt.
Seitdem habe Microsoft auf kleiner Flamme, aber dennoch kontinuierlich an dem Problem gearbeitet und nach und nach in neueren Windows-Versionen wie XP SP2 und Vista kleinere Änderungen eingeführt, um das Problem einzudämmen. Über die Jahre hätten die Entwickler genug Erfahrung gesammelt, um die abschließenden Änderungen in einen Patch zu gießen, der nach der Installation nicht zu Ausfällen bei Kunden führt. Der am vergangenen Dienstag veröffentlichte Patch (MS08-068) soll genau dies tun – bislang offenbar mit Erfolg.
Siehe dazu auch.
- MS08-068 and SMBRelay, Blogeintrag von Christopher Budd
(dab)
