Microsoft lässt Server-2003-Lücke ungepatcht
Eine Sicherheitslücke im Netzwerkerkennungsdienst NLA von Windows Server 2003 wird nicht geschlossen, obwohl das Betriebssystem eigentlich noch Sicherheitsupdates erhalten sollte.
- Fabian A. Scherschel
Im Rahmen des Januar-Patchdays hatte Microsoft eine als "wichtig" eingestufte Lücke im Firewall-Konfigurationsdienst Network Location Awareness (NLA) von Windows geschlossen (MS15-005). Wie einige Nutzer nach dem Patchday bemerkt haben, wurde ein entsprechendes Update aber nicht an alle unterstützten Windows-Versionen ausgeliefert. Windows Server 2003 bleibt außen vor, obwohl der Extended Support für dieses Betriebssystem erst am 14. Juli diesen Jahres ausläuft.
NLA regelt die Firewall-Einstellungen von Windows, je nachdem in was für einem LAN sich der Rechner befindet. In öffentlichen Netzwerken werden so weniger lokale Ressourcen freigegeben als in vertrauenswürdigeren privaten Netzen. Zwar enthält Windows Server 2003 in dieser Hinsicht nur begrenzte Funktionalität, das Betriebssystem ist aber laut Microsoft trotzdem angreifbar.
Microsoft verweigert das Update
Über die Lücke kann ein Angreifer im lokalen Netz die Schutzfunktionen von Windows auf einem Ziel-Computer herunterstufen, um diesen einfacher angreifen zu können. Das genügt zwar alleine nicht für einen Angriff, kann aber Hackern bei solchen helfen, wenn sie sich schon Zugriff zum Netz eines Opfers verschafft haben – zum Beispiel bei der Infiltration eines Fimennetzes im Rahme von APT-Attacken.
Laut Microsoft will man die Lücke in Server 2003 trotz bestehender Unterstützung nicht stopfen, da dies eine "sehr signifikante Umarbeitung des ganzen Betriebssystems, nicht nur der betroffenen Komponente" bedeuten würde. Das würde unter Umständen zu Kompatibilitätsproblemen mit existierenden Programmen von Drittanbietern führen.
Es ist nicht das erste Mal, dass Microsoft eine Sicherheitslücke trotz noch bestehender Unterstützung nicht schließt. Unter anderem kam das mit einer anderen wichtigen Lücke 2014 und mit einem kritischen Sicherheitsloch 2009 vor. Allerdings reiht sich die offene Lücke in eine Reihe von Kritikpunkten an Microsofts Update-Politik in letzter Zeit ein, die immer länger wird. Es ist also kaum verwunderlich, dass die Windows-Entwickler das kommende Windows 10 als Dienstleistung etablieren wollen, um die Support-Last der unzähligen Legacy-Versionen endlich abzuschütteln. (fab)
