Microsoft SQL Server 7.0 mit Hintertür

Wer Microsofts SQL Server im Internet betreibt, muss bei der Installation höllisch aufpassen, damit keine Hintertür für Neugierige und Angreifer offen bleibt. Das Setup-Programm erzeugt standardmäßig ein Benutzerkonto für den Administrator, das es mit einem leeren Kennwort versieht.

Einem Bericht auf Slashdot zufolge existieren weltweit Hunderte von Servern, bei denen vergessen wurde, dieses Kennwort zu ändern. Damit steht potenziellen Angreifern nicht nur der Datenbankinhalt zum Ausspähen und Manipulieren offen. Auch eigener Code kann zur Ausführung gebracht werden, und da dieser unter dem Systemkonto läuft, gibt es praktisch keine Beschränkung beim Zugriff auf Dateien, das Netzwerk und sonstige Ressourcen. Um das Loch zu schließen, sollten Administratoren nach der Installation unbedingt das Kennwort ändern.

Microsoft widerspricht in einer Stellungnahme der Einschätzung, bei dem jetzt bekannt gewordenen Problem handele es sich um ein Sicherheitsloch. Wer über das standardmäßig angelegte Administratorkonto in ein System eindringe, benutze vielmehr den normalen Authentifizierungsprozess des SQL Servers mit einem bekannten Kennwort – und das sei in diesem Falle eben leer. (hos)