Windows Security

Auf die beiden Juni-Sicherheits-Bulletins von Microsoft wollen wir an dieser Stelle gar nicht weiter eingehen: Beide beheben derartig harmlose Fehler, dass es fast ein wenig vermessen ist, von einem „Sicherheitsproblem“ zu sprechen. Zum einen wird eine Sicherheitslücke in Crystal Reports (ein Paket zum Erzeugen statistischer Berichte) behoben, zum anderen ein Problemchen im Directplay-Protokol, das Angreifer für einen „DoS-Angriff“ verwenden könnten. Directplay ist Bestandteil diverser DirectX-Versionen und findet seine Verwendung in Netzwerkspielen. Wer das zuverlässige und unterbrechungsfreie Funktionieren solcherlei Spielkrams als „business critical“ einstuft, sollte den passenden Patch bei Gelegenheit einspielen (842689, 839643).

Viel schwerwiegender sind die diversen neuen Sicherheitslücken im Duo Internet Explorer/IIS, die kürzlich bekannt wurden. Abhilfe kann hier - wie sonst meist auch - das komplette Abschalten von Active Scripting schaffen; ob der Explorer dann allerdings noch als Browser nutzbar ist oder damit zum Desktop-Schmuck verkommt, ist natürlich eine berechtigte Frage. Die Redaktion der Security-Mailingliste „Rotalarm“ jedenfalls titelte am 21. Juni „IE praktisch nutzlos“, um zwei Wochen später eine ganz ähnliche Schlagzeile eines Konkurrenten als „Steilvorlage für Foren-Trolle“ abzutun. Wir lassen solcherlei Inkonsequenz hier einfach stehen und wenden uns den Fakten zu, die zum Zeitpunkt des Redaktionsschlusses leider noch etwas im Dunkel liegen.

Wieder einmal hat der IE6 Schwierigkeiten mit der korrekten Zuordnung von Webseiten in die richtige Sicherheitszone. Fügt man an eine Url die hexadezimale Kodierung des ASCII-Werts für „/“ (%2F) an, gefolgt von „redir=www.andererserver.de“, öffnet der IE (zumindest unter bestimmten Umständen) die Webseiten auf www.andererserver.de in der Sicherheitszone der ursprünglichen Url. Zu allem Überfluß ist es möglich, beliebig viele Leerzeichen zwischen dem „%2F“ und dem „redir=...“ anzugeben, sodass das Umleitungsziel außerhalb der Adressleiste des IE steht. Damit spiegelt man dem Benutzer vor, sich weiterhin auf der angewählten Webseite zu befinden: Wer scrollt denn schon jedesmal in der Adressleiste auf Verdacht ganz nach rechts, um zu schauen, ob da noch etwas kommt?

Hat der Angreifer auf diese Weise erst einmal seine eigene Webseite in einer privilegierten Sicherheitszone geöffnet, stehen ihm im Normalfall Tür und Tor offen, um beliebigen Code auf die lokale Platte zu kopieren und ihn von dort auszuführen - normalerweise im Sicherheitskontext des angemeldeten Benutzers. Um das Problem einzuschränken, hat Microsoft in einem etwas hilflosen Versuch ein „IE Security Update“ veröffentlicht, das ein bestimmtes ADODB-ActiveX-Control abschaltet. Dieses kann der Angreifer verwenden, um Dateien zu kopieren. Das ist aber nicht notwendigerweise der einzige Weg, um etwas - vom Benutzer ungemerkt - auf die lokale Platte zu schmuggeln (870669).

Allerdings ist es die Methode der Wahl für „Download.ject“, eine Art Trojaner, der sich zurzeit auf diversen IIS-5.0-Servern befindet. Wie er dort hinkam, ist noch nicht ganz klar; in Redmond hält man sich mit nützlichen Informationen ziemlich bedeckt. Eine Meldung auf den Security-Seiten von Microsoft mit dem Titel „What you should know about Download.Ject“ listet lediglich alle Fixes auf, die man bitte sofort einspielen soll, gibt aber keine weiteren Hinweise.

Eine Variante jenes Trojaners scheint sich laut Cert an den IE anzuhängen, um Passwörter für Online-Banking-Zugänge abzufangen. Laut oben erwähntem Nachrichtendienst „Rotalarm“ betrifft dies vor allem Kunden der LBBW, der Citibank und der Deutschen Bank. Es ist auf jeden Fall eine gute Idee, das Sicherheits-Update zu installieren und den Versionsstand der Patternfiles des Virenscanners zu überprüfen, auch wenn man kein Kunde einer dieser Banken ist. Eine vollständige Liste der betroffenen Online-Banking-Adressen findet sich unter isc.sans.org/presentations/banking_malware.pdf.

Näheres zu den einzelnen Sicherheitsproblemen gibt es online unter www.microsoft.com/technet/security. Die in Klammern angegebenen KnowledgeBase-Artikel sind unter support.microsoft.com erhältlich. Über die iX-Webseite sind alle bisherigen Ausgaben von „Windows Security“ zu erreichen. (wm)