Microsoft-Datenbank installiert Hintertür
Eine Microsoft-Komponente in harmlos erscheinenden datenbankgestützten Anwendungen kann Hackern den Zugang zu Windows-9x-Rechnern ermöglichen.
Software, die sich auf die Microsoft SQL Server Database Engine (MSDE) stützt, kann Angreifern einen Zugang zu Windows-Rechnern eröffnen. Schuld ist das Installationsprogramm der MSDE, das unter Windows 9x und ME ungefragt ein Benutzerkonto für einen Datenbankadministrator mit einem leeren Kennwort anlegt. Wie c't in der am morgigen Montag erscheinenden Ausgabe berichtet, können sich Hacker über das Internet mit der Datenbank verbinden und dort als Administrator nicht nur Daten ausspähen oder manipulieren, sondern über spezielle Datenbankbefehle auch lokale Software ausführen.
Entwickler verwenden die MSDE häufig in Demo-Versionen von Business-Anwendungen wie Buchführungsprogrammen. Auch in den Professional-Versionen von Microsoft Office 2000 und XP ist sie enthalten, wird aber standardmäßig nicht mit installiert. Ob diese Sicherheitslücke vorhanden ist, lässt sich durch den Aufruf netstat -a in einer DOS-Box herausfinden: Taucht hier eine Zeile mit der Portnummer 1433 auf, besteht Gefahr.
Um sich vor Angriffen über dieses Sicherheitsloch zu schützen, sollte man den Server beenden, bevor man sich mit dem Internet verbindet, oder ein Firewall-Programm einsetzen, das Zugriffe über den Port 1433 unterbindet. Die beste Möglichkeit besteht allerdings darin, das Administratorkennwort zu ändern, wofür die MSDE aber kein grafisches Werkzeug mitbringt. Stattdessen muss man das undokumentierte Programm osql aus dem "Binn"-Verzeichnis der MSDE-Installation verwenden: Der Aufruf
osql -U sa -Q "sp_password NULL, 'geheim'"
trägt 'geheim' als neues Kennwort in die Datenbank ein. (hos)
