heise PlusAbo
Anzeige

Kurz notiert

vorlesen Druckansicht
Lesezeit: 6 Min.
iX Magazin
Von
  • Christian Segor

Genug Aufmerksamkeit bekam Code Red im vergangenen Monat in den Medien ja: Sogar die sonst eher auf Blue Chips und Nemax fokussierte Wirtschaftsredaktion der Süddeutschen Zeitung widmete dem Webwurm einen Leitartikel. Und Focus erinnerte die Leser, mit Dateianhängen in E-Mails vorsichtig umzugehen, was man nicht oft genug predigen kann, auch wenn es in diesem Zusammenhang vielleicht etwas off topic war.

Eine anderer Hinweis, der offensichtlich der regelmäßigen Wiederholung bedarf, ist der auf die Verfügbarkeit eines Patches, der Code Red das Wurmloch im IIS verstopft. Mittlerweile hat Microsoft diesen Hotfix mit vier weiteren Patches zusammengepackt, die insgesamt fünf ähnliche Sicherheitslücken im IIS 4.0 und 5.0 verschließen - und eben auch Code Red das Handwerk legen. Näheres dazu findet der interessierte Systemadministrator im Microsoft Security Bulletin MS01-044. Ferner sei angemerkt, dass jeder, der jetzt immer noch einen ungepatchten IIS in der Gegend stehen lässt, selbst an seinem Unglück Schuld ist.

Alle anderen spielen also die erwähnten Patches ein und besorgen sich außerdem das IIS Lockdown Tool, das Microsoft Ende August veröffentlicht hat. Das Tool bietet zwei Betriebsarten an, wobei die erste - ‘Express Lockdown’ - einen IIS mit minimalem Aufwand so umkonfiguriert, dass ein sicherer Betrieb gewährleistet ist, ohne die in den meisten Fällen benötigten Funktionen einzuschränken. Auch Code Red hat gegen einen so eingestellten Server keine Chancen mehr, was natürlich kein Grund ist, den entsprechenden Hotfix nicht zu installieren. Wer selbst festlegen möchte, was das IIS-Lockdown-Tool tut, wählt den Modus ‘Advanced Lockdown’, der dann eine Reihe von Optionen bietet. Erhältlich ist das Tool unter www.microsoft.com/technet/security/tools/locktool.asp.

Im letzten Heft wurde an dieser Stelle ein Sicherheitsproblem im Outlook View Control angesprochen, das es Angreifern im schlimmsten Fall ermöglicht, jeden beliebigen Code auf dem betroffenen Rechner auszuführen. Mittlerweile existiert ein Patch, der auch im Servicepack 1 für OfficeXP enthalten sein wird (Q303833 und Q303835).

Die Services for Unix (eine Sammlung von Werkzeugen, die die Integration von Windows- und Unix-basierenden Netzen erleichtern soll) beinhalten eine Microsoft-Implementierung des Network File Systems und ferner einen erweiterten Telnet-Server. In beiden Komponenten befindet sich ein Speicherleck, das für DoS-Angriffe genutzt werden kann; administrative Rechte allerdings kann sich der Angreifer auf diese Weise nicht verschaffen. Der im Lieferumfang von Windows 2000 enthaltene Telnet-Server ist übrigens nicht davon betroffen; der entsprechende Patch muss also nur auf SfU-Installationen aufgespielt werden (Q294380 und Q301514).

Ein weiteres Speicherleck weist die RDP-Implementierung sowohl der Windows 2000 Terminal Services als auch des NT 4.0 Terminal Server auf. Wer Böses im Sinn hat, kann durch das Verschicken von großen Mengen so genannter ‘malformations’ an Port 3389 jeden Terminal Server in die Knie zwingen - allein, Adminrechte bekommt man auf diese Weise auch nicht. Für beide Produkte gibt es je einen Hotfix, der dieses Problem behebt (Q292435).

Auch im NNTP-Service gilt es, ein Speicherleck derselben Art zu dichten. Hier sind ebenfalls nur DoS-Angriffe und keine ‘privilege elevation’ möglich. (Q303984).

Weitere Speicherlecks wurden im H.323-Gateway und im Proxy-Service des ISA-Servers gefunden. Der entsprechende Patch verschließt aber nicht nur diese Sicherheitslücken, sondern behebt auch ein deutlich schwer wiegenderes Problem des ISA-Servers: Folgt man (unter Verwendung des ISA-Servers) einem Link zu einer Seite, die sich nicht darstellen lässt, erzeugt der ISA-Server eine Fehlermeldung in Form einer HTML-Seite, die unter anderem die angefragte URL enthält, und schickt diese an den Browser. Falls die URL nun client-seitig ausführbaren Scriptcode enthält und entsprechend geschickt aufgebaut ist, wird dieses Script gestartet - zu allem Überfluss in der Sicherheitszone, in der sich der ISA-Server befindet; im Zweifelsfall dürfte das das lokale Intranet sein. Der erwähnte Patch unterbindet die Darstellung der URL auf der Fehlerseite (Q289503 und Q295389).

Nach so vielen Speicherlecks bietet das Folgende etwas Abwechslung: Mittels bestimmter RPC-Pakete können sowohl Exchange als auch der SQL-Server und das Betriebssystem selbst lahm gelegt werden. Die Ursache liegt im RPC-Stub, der die ankommenden Pakete nicht überprüft, sondern gleich an die adressierte Anwendung weiterreicht, die dann unter Umständen ihre Dienste einstellt. Dieses Problem wird durch eine Reihe von Hotfixes behoben (Q298012).

Der Windows Media Player in den Versionen 6.4, 7.0 und 7.1 unterstützt Audio- und Video-Streaming; die Player verwenden dazu so genannte Windows-Media-Station-Dateien. Leider existiert in einer Funktion, die eben diese Streaming-Dateien verarbeitet, ein ‘unchecked buffer’, der es einem Angreifer erlaubt, beliebigen Code auf dem betroffenen Rechner auszuführen. Wer den Media Player verwendet, sollte also dringend den Patch installieren, den Microsoft zur Verfügung stellt (Q304404).

Ein seltsames Problem weist die IrDA-Implementierung von Windows 2000 auf. Empfängt der IrDA-Stack eine bestimmte Paketart, führt dies zu einem Speicherüberlauf, und der betroffene Rechner muss neu gestartet werden. Im Gegensatz zu den meisten DoS-Angriffen kann hier der Angreifer sich allerdings kaum auf die Anonymität des Internet verlassen: die Reichweite der Infrarotschnittstelle liegt schließlich in der Größenordnung von einem oder zwei Metern. Da der Hotfix aber zusätzlich die IrCOMM-Unterstützung aus Windows XP mitinstalliert und sich somit Modems in Mobiltelefonen verwenden lassen, ohne auf zusätzliche Software von Drittanbietern zurückgreifen zu müssen, ist eine Installation sicherlich empfehlenswert (Q252759).

Wer ob zahlreicher neuer Hotfixes langsam die Übersicht verliert, ob sein System vollständig gesichert ist, dem sei der Network Security Hotfix Checker empfohlen, den Microsoft Mitte April veröffentlicht hat. Das Tool analysiert den momentanen Patch-Stand auf einem Rechner (oder auch auf allen Rechnern in einem Netzwerk) und vergleicht ihn mit den aktuell verfügbaren Hotfixes. Bei Diskrepanzen wird eine Warnung ausgegeben. Erhältlich ist der Hotfix Checker kostenlos bei Microsoft (Q303215).

Näheres zu den einzelnen Sicherheitsproblemen gibt es online. Die angegebenen KnowledgeBase-Artikel sind unter search.support.microsoft.com/kb/ erhältlich. (wm)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten