Active-Directory-Management

In der letzten Ausgabe wurde an dieser Stelle von einem Sicherheitsloch im Indexing Service in Verbindung mit dem Internet Information Server berichtet. Am 19. Juli meldete CERT im Advisory CA-2001-19 das Auftreten einer Art Webserver-Wurm, der sich eben jene Sicherheitslücke zu Nutze macht, um sich selbst im Netz zu verbreiten. CERT schätzt, dass der Wurm weltweit eine knappe Viertelmillion Webserver infiziert hat und sich weiterhin rasant verbreitet. Eigentliches Ziel der Programmierer dieses Wurms war wohl ein verteilter Denial-of-Service-Angriff auf den Webserver des Weißen Hauses. Microsoft hat bereits vor einiger Zeit einen Patch zur Verfügung gestellt, der das Wurmloch verschließt, den alle IIS-Administratoren angesichts dieser Bedrohung dringend installieren sollten (Q300972).

Wie die Sicherheitsgruppe an der Universität Stuttgart (RUS-CERT) am 3. August mitteilte, ist der von Microsoft im Juni bereitgestellte Patch fehlerhaft. In der Visual Studio RAD-Teilkomponente der Front Page Server Extensions (FPSE) ist nach wie vor ein Buffer Overflow möglich. Als Abhilfe empfehlen die Stuttgarter ein Deinstallieren des Sicherheitsupdates Q300477 beziehungsweise der Teilkomponente.

Eine weitere Sicherheitslücke - wenn auch nicht ganz so klaffend - tut sich im SMTP-Service auf, der zum Lieferumfang von allen Windows-2000-Versionen gehört. Aufgrund eines ‘Authentifizierungsfehlers’ im SMTP-Service können Angreifer beliebige E-Mails verschicken. Der angegriffene Rechner als solcher ist nicht gefährdet - sieht man von der zusätzlich erzeugten Netzlast ab. Allerdings kann der Angreifer auf diese Weise nach Herzenslust Nachrichten fragwürdigen Inhalts in großer Zahl verschicken, was zunächst auf den Besitzer des betroffenen Rechners zurückfällt. Gefährdet sind alle Win2k-Rechner, die kein Mitglied einer Domäne sind. Exchange-2000-Installationen sind nicht betroffen. Der rettende Hotfix ist auf den Webseiten von Microsoft erhältlich (Q302755).

Ebenfalls in den Bereich E-Mail fällt ein Sicherheitsproblem, vor dem Microsoft am 12. Juli warnte: Das Outlook View Control, ein ActiveX-Control, das das Einbinden von Exchange-Informationen wie Mailboxen oder Kalender in Webseiten ermöglicht, beinhaltet eine Funktion, die es Angreifern nicht nur ermöglicht, eben diese Exchange-Informationen zu manipulieren, sondern jeden beliebigen Code auf dem betroffenen Rechner auszuführen. Die beiden wahrscheinlichsten Angriffswege sind zum einen Webseiten, die das Control enthalten, zum anderen HTML-Mails. Für dieses Problem hat Microsoft leider nur wenig Trost anzubieten - und vor allem noch keinen Patch. Für die Zwischenzeit bis zum Release des Hotfix empfehlen die Redmonder, ActiveX beim Surfen generell abzuschalten. Vorsichtige Anwender sollten es dann auch dabei belassen (Q303833 und Q303835).

Einen vollkommen anderen Weg versuchte ein Angreifer zu gehen, der ein gefälschtes Microsoft Security Bulletin verschickte. Die E-Mail, die als Bulletin MS-01-037 getarnt daherkommt, enthält eine Warnung vor einem neuen Virus, der alle bisherigen Schädlinge an Gefährlichkeit in den Schatten stellt. Der Virus habe das Potenzial, einen ‘Großteil der Internetbenutzer auszulöschen und das Motherboard zu zerstören’. Wer auf die in der E-Mail angegebene URL klickt, die angeblich auf das Wundermittel gegen diesen Fiesling zeigt, installiert eine Variante des W32.Leave-Wurms, ein eher harmloses Exemplar, mit dem jeder einigermaßen aktuelle Virenscanner fertig werden sollte.

Näheres zu den einzelnen Sicherheitsproblemen gibt es online. Die angegebenen KnowledgeBase-Artikel sind unter search.support.microsoft.com/kb/ erhältlich. (wm)