Wortbruch
- Christian Segor
Manchmal trifft es sogar die Exoten. Sowohl im so genannten „Utility Manager“ als auch im POSIX-Subsystem sind Sicherheitslücken aufgetaucht, die es dem angemeldeten Benutzer erlauben, sich weitergehende Rechte zu verschaffen und somit die betroffene Maschine unter seine Kontrolle zu bringen. Beide Probleme sind allerdings unkritisch, da sie nicht ohne lokale Anmeldung oder gar über das Netz ausgenutzt werden können.
Der Utility Manager ist eine den meisten Benutzern unbekannte Anwendung. Sie verwaltet die verschiedenen Ein- und Ausgabehilfen für Sehbehinderte, darunter den berüchtigten „Narrator“, dessen Sprachqualität deutlich hinter „Houston, we’ve got a problem“ zurückbleibt und der beim ersten Start mit der Nachricht losplappert, er sei für einen ernsthaften Einsatz eigentlich gar nicht gedacht gewesen. Wohl aber für andere Zwecke. Denn wer den Utility Manager startet und dann ein passendes Exploit-Programm ausführt, hat volle Kontrolle über den Computer.
NT 4.0 und Windows 2000 verfügen über eine Implementierung des „Portable Operating System Interface for Unix“-Standards, eine Art Emulator für Anwendungen, die für Posix-Umgebungen kompiliert wurden. Mit einer entsprechend präparierten Posix-Anwendung kann ein Benutzer sich ebenfalls vollen administrativen Zugriff auf den Rechner besorgen, an dem er gerade angemeldet ist.
Sowohl das Posix-Subsystem als auch der Utility Manager werden im Normalfall eher selten benutzt, und so liegt es nahe, beides abzuschalten beziehungsweise zu deinstallieren, um die SicherheitslĂĽcke zu schlieĂźen. Alternativ kann der Administrator auch die passenden Patches installieren (842526, 841872).
Zwar ist der Support für NT 4.0 und damit auch für den IIS 4.0 Ende Juni ausgelaufen. Trotzdem hat Microsoft noch einen „cummulative patch“ für den IIS 4.0 veröffentlicht, der neben allen bisherigen Sicherheits-Fixes den Flicken für eine neu bekannt gewordene Sicherheitslücke beinhaltet. Dabei geht es um einen Pufferüberlauf, den eine passende HTTP-Anfrage hervorruft und den ein Angreifer benutzen kann, um beliebigen Code auf dem betroffenen Rechner auszuführen. Leider ist der IIS 4.0 nach wie vor weit verbreitet; deswegen sei allen Betreibern, die nicht updaten können oder wollen, angeraten, den Sammelflicken zu installieren. Da dies eines der letzten Sicherheitslöcher in NT 4.0 oder IIS 4.0 ist, für die es noch einen Patch gibt, kommt man um ein Update früher oder später nicht herum (841373).
Ein Meisterstück in nebulöser Formulierung ist Microsoft mit dem Security Bulletin MS04-022 gelungen. Es geht hier um eine Sicherheitslücke im Task Scheduler, also der Windows-Komponente, die Programme automatisch zu definierten Zeiten ausführen kann. Es gäbe „viele Wege“, auf denen ein Angriff erfolgen könne, darunter das Betreiben einer „böswilligen Webseite“, das Kopieren einer „speziell vorbereiteten Datei“ oder „andere Wege“. Nun gut, das hat schon philosophische Qualitäten. Tatsache ist, dass ein Angreifer in der Lage zu sein scheint, beliebigen Code über das Netzwerk auf dem betroffenen Rechner auszuführen, auch wenn dafür „Interaktion mit dem Benutzer“ notwendig ist - was auch immer damit gemeint sein soll. Die Erfahrung zeigt, dass Vorsicht geboten ist, wenn man in Redmond in derartige Wortakrobatik verfällt. Deshalb die Empfehlung an die Administratoren von Windows-2000- und XP-Systemen den entsprechenden Hotfix zu installieren (841873).
Das HTML-basierende Hilfesystem, das mit Windows 2000 eingeführt wurde, ist ja bekanntlich ein Dauerbrenner in Sachen (mangelnder) Sicherheit. Microsoft stopft jetzt zwei weitere Löcher, die es einem Angreifer ermöglichen, seinen Code auf den Rechner zu platzieren und auszuführen. Dazu ist es lediglich nötig, dass der Benutzer eine entsprechende Webseite oder HTML-E-Mail öffnet, was ja kein großes Hindernis darstellt, klicken die meisten Anwender doch fröhlich auf alles, was einigermaßen interessant aussieht. Der gleiche Angriffsweg lässt sich auch beschreiten, um ein Sicherheitsleck in der Windows Shell auszunutzen - betroffen sind alle Versionen von NT 4.0 bis Windows 2003 (840315, 839645).
Gelegentlich weicht Microsoft von der eisernen Regel ab, Sicherheits-Hotfixes nur einmal im Monat zu veröffentlichen - meist dann, wenn bereits ein Exploit kursiert. Ob es aber eine gute Idee war, den neuesten Sammelflicken für den IE außer der Reihe ausgerechnet an einem Freitag zu veröffentlichen, und dann auch noch am Nachmittag Ortszeit in Redmond, wenn der Rest der Welt bereits ins Wochenende verschwunden ist, sei dahingestellt. Auf diese Art und Weise werden höchstens die Script-Kiddies auf das Problem aufmerksam und haben dann das ganze Wochenende Zeit zu basteln.
Mit diesem „cummulative patch“ außer der Reihe schließt Microsoft drei neue Sicherheitslücken; ein Problem mit dem Zonen-Modell des IE und zwei Fehler in der grafischen Rendering-Engine. Letztere ermöglichen es einem Angreifer, eigenen Code einzuschleusen, der in einer BMP- oder GIF-Grafik daherkommt. Hier hilft das oft gepriesene Abschalten von Active Scripting im Browser nicht - es reicht, die Bilddatei einfach nur darzustellen. Wer jetzt nicht auch noch das automatische Anzeigen von Grafiken im IE abschalten möchte, tut also gut daran, den Patch zu installieren (867801).
Näheres zu den einzelnen Sicherheitsproblemen gibt es online unter www.microsoft.com/technet/security. Die in Klammern angegebenen KnowledgeBase-Artikel sind unter support.microsoft.com erhältlich. Über die iX-Webseite sind alle bisherigen Ausgaben von „Windows Security“ zu erreichen. (jd)
