heise PlusAbo
Anzeige

Dokumentation für XP-Betriebssysteme

vorlesen Druckansicht
Lesezeit: 5 Min.
iX Magazin
Von
  • Christian Segor

Auf den ersten Blick haben ‘3244527687’ und ‘193.99.144.71’ ja gar nichts gemeinsam. Mit ein wenig Rechenakrobatik allerdings findet man schnell heraus, dass die Binärdarstellung dieser recht großen Zahl und die der byteorientierten IP-Adresse identisch sind. In der Tat handelt es sich bei der Zahl um eine so genannte unpunktierte IP-Adresse. Diese Darstellungsweise ist nicht sonderlich bekannt und insbesondere scheinen diejenigen, die bei Microsoft für den Internet Explorer verantwortlich zeichnen, sich ihrer nicht bewusst gewesen zu sein.

Öffnet man http://3244527687 im IE, passiert vereinfacht dargestellt Folgendes: Zunächst analysiert der IE die Adresse und interpretiert sie - da sie ja nur aus einem ‘Wort’ besteht - als Ziel im lokalen Netzwerk, ähnlich wie http://intranet. Danach reicht er die Anfrage an den IP-Stack weiter, der die Adresse nicht mehr als Zeichenkette, sondern als numerischen Wert betrachtet und demzufolge eine Verbindung mit 193.99.144.71 aufbaut. Die empfangene Webseite stellt der IE dann so dar, als ob sie aus der Sicherheitszone ‘Lokales Netz’ stammen würde. Im gewählten Beispiel ist das nicht weiter tragisch, handelt es sich doch um den Webserver des Heise-Verlags.

In weniger freundlichen Bereichen des Web kann es aber auf diese Art und Weise zu bösen Überraschungen kommen. Microsoft empfiehlt deshalb, den entsprechenden Patch auf IE 5.01-, IE 5.5- und IE 6.0-Installationen einzuspielen. Etwas peinlich für die Redmonder ist die Tatsache, dass das gleiche Problem bereits im Oktober 1998 beim IE 4.01 aufgetreten war; auch damals musste ein Hotfix Abhilfe schaffen (Q306121).

Bedauerlicherweise war dies nicht das einzige Fettnäpfchen für Microsoft im letzten Monat: Am 18. Oktober wurde ein Hotfix veröffentlicht, der einen Denial-of-Service-Angriff auf Terminalserver-Installationen verhindern soll. Zwei Tage später nahm Microsoft den Patch wieder vom Netz, nachdem sich herausstellte, dass er auf Win2k-Servern zu Instabilitäten führen kann. Mittlerweile gibts eine überarbeitete Form (Q307454).

Auch die Outlook-Web-Access-Komponente von Exchange 2000 ist für einen DoS-Angriff anfällig. Allerdings handelt es sich hierbei um ein recht unwahrscheinliches Szenario, muss sich der potenzielle Angreifer doch zuvor authentifizieren. Hat er das getan, kann er den Exchange Information Store eine Zeit lang in die Knie zwingen, indem er eine spezielle URL zu öffnen versucht. Sobald Exchange diese Anfrage bearbeitet hat, nimmt es seinen normalen Betrieb wieder auf. Der entsprechende Patch wird im Exchange-Servicepack 2 enthalten sein und ist bereits jetzt als Hotfix verfügbar (Q304233).

Nachdem die Aufregung um Nimda sich mittlerweile wieder etwas gelegt hat, treten nun die Analysten auf den Plan. In ihrer Notiz FT-14-5524 empfiehlt die GartnerGroup, anstelle des IIS andere Webserver mit besseren ‘security records’ einzusetzen. Die Verwendung des IIS sei mit einem hohen Risiko verbunden; Microsoft müsse seinen Webserver von Grund auf neu entwickeln und öffentlich testen lassen.

Nun ist insbesondere die letzte Forderung gelinde gesagt nicht sehr realistisch: Microsoft tut sich fast genauso schwer damit, die Philosophie der Open-Source-Gemeinde zu verstehen wie umgekehrt. Es ist auch gar nicht notwendig, den Quellcode des IIS offen zu legen, genauso wenig wie der Betrieb des IIS notwendigerweise mit einem hohen Risiko verbunden ist. Die GartnerGroup verkennt das eigentliche Problem: die weite Verbreitung des IIS in Verbindung mit der deutlich geringeren Verbreitung der entsprechenden Sicherheitspatches. In zahlreichen Fällen sind sich Benutzer gar nicht darüber im Klaren, dass auf ihrem System ein Microsoft-Webserver installiert ist; und oftmals wird das Einspielen von Hotfixes als Hysterie abgetan. So stehen zahlreiche Einfallstore offen, die Nimda & Co ausnutzen können.

Auch Microsoft hat erkannt, dass so etwas dem Ruf schaden kann. Als Reaktion haben die Redmonder zum einen angekündigt, dass ab der nächsten IIS-Version 6.0 im Gegensatz zu den Vorgängerversionen der Administrator jede einzelne Komponente (Webserver, FTP-Server etc.) explizit installieren muss. Zum anderen hat Microsoft das ‘Strategic Technology Protection Program’ gestartet: In zwei Phasen soll allen Windows-Nutzern zu mehr Sicherheit verholfen werden. Phase I (‘Get Secure’) besteht aus einem Security Toolkit, das einige Tools, die aktuellen Hotfixes und eine Reihe von Dokumentationen enthält, und einer kostenlosen Virus-Hotline, die allerdings nur in Kanada und den USA erreichbar ist. Phase II (‘Stay Secure’) soll vor allem die Installation von Sicherheitspatches in großen Umgebungen erleichtern oder sogar automatisieren; die ersten Produkte kann man Ende 2001 erwarten.

Bis dahin muss der sicherheitsbewusste Systemadministrator weiter von Hand patchen. Dass er dabei nicht nur die neu bekannt gewordenen Sicherheitsprobleme berücksichtigen sollte, demonstriert sehr eindrucksvoll das SANS-Institut, eine nordamerikanische Forschungseinrichtung, die zusammen mit dem FBI eine Hitliste der am meisten verbreiteten Sicherheitslücken erstellt hat. Die Liste umfasst sieben allgemeine Probleme (etwa fehlende Backups oder Accounts mit leeren Passwörtern), sechs Windows-Probleme und sieben aus dem Unix-Umfeld. Offensichtlich ist mangelnde Sicherheit nicht betriebssystemspezifisch.

Nähere Informationen gibt es online. Die angegebenen KnowledgeBase-Artikel sind unter search.support.microsoft.com/kb erhältlich. (wm)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten