Vorsicht: Windows-Dienste
Ein britischer Berater will eine konzeptbedingte Sicherheitslücke in Windows entdeckt haben, die sich nicht ohne erheblichen Aufwand schließen lässt -- Microsoft indes wiegelt ab.
Chris Paget behauptet eine Sicherheitslücke in Windows entdeckt zu haben, die einen zentralen Mechanismus des Systems betrifft. Die grafische Bedienoberfläche verwendet spezielle Nachrichten, die die Programme miteinander und mit dem System austauschen. Anwendungen oder System erfahren so zum Beispiel, dass Teile eines Fensters neu darzustellen sind, dass ein Benutzer einen Dialog geschlossen hat und so weiter. Paget zeigt in einem White Paper nicht nur auf, dass sich die Nachrichten dazu missbrauchen lassen, um mehr Rechte im System zu erlangen, sondern liefert gleich Beispielcode dafür, der allerdings das Vorhandensein einer veralteten Antiviren-Software voraussetzt.
Paget geht in seinem Papier so weit, zu behaupten, dass Microsoft diese Lücke nicht einfach schließen kann, weil dies eine grundlegende Änderung der Architektur bedeuten würde. Eine Reaktion Microsofts auf seine Thesen stellt er auf seinen Webseiten bereit: Darin wiegelt der Software-Hersteller ab. Die Sicherheitslücke erfordere physischen Zugriff auf die Maschine und sei schon deshalb nicht so ernst. Zudem weist Microsoft darauf hin, dass das Grundprinzip nicht neu sei, sondern bereits in einschlägigen Kreisen diskutiert wurde. Eine Notwendigkeit zum Handeln bestünde nicht.
Die Entdeckung von Chris Paget betrifft Windows NT und seine Nachfolger 2000 und XP. In dieser Familie hat Microsoft so genannte Dienste vorgesehen, also Prozesse, die unabhängig davon arbeiten, ob ein Benutzer angemeldet ist -- nichtsdestotrotz laufen diese Dienste in einem wählbaren Benutzerkontext, viele letztlich in dem des speziellen System-Kontos. Das System-Konto hat noch weitergehendere Rechte, als sie ein Administrator genießt. Schon eine Standardinstallation enthält diverse solcher Dienste, etwa für den Zugriff aufs Netz und die Freigabe von Dateien und Druckern. Diverse andere Software bringt eigene Dienste mit, etwa Antiviren-Software und Personal Firewalls.
In der Konfiguration einzelner Dienste, die mit den Rechten des System-Kontos arbeiten, lässt sich der Zugriff der Dienste auf den Desktop des aktuell angemeldeten Benutzers erlauben. Genau hier liegt die Lücke: Die Fenster solcher Anwendungen, speziell solche, die Eingaben entgegennehmen (etwa Konfigurationsdialoge), dienen als Angriffspunkt. Füllt ein Angreifer die Eingabefelder gezielt mit geeigneten Daten und verschickt dann eine passende Nachricht an das Fenster, kann er seinen in den Daten enthaltenen Code von der Anwendung ausführen lassen -- allerdings nur, wenn sie an dieser Stelle einen Buffer-Overflow-Fehler enthält. Aufgrund des Sicherheitskontextes des Dienstes läuft dieser Code im Kontext des System-Kontos und kann damit alles.
Microsoft weist in seiner Stellungnahme zu Pagets White Paper darauf hin, dass man schon lang vor allzu nachlässiger Konfiguration vor solchen "interaktiven Diensten" gewarnt habe. Allerdings hat der Software-Hersteller selbst bei seinem Bilderfassungdienst in Windows 2000 diese Warnung in den Wind geschlagen. So steht auf einem anderen Blatt, wie es um die diversen Dienste bestellt ist, denen Windows XP in der Standardkonfiguration erlaubt, Daten mit dem Desktop auszutauschen. Grundsätzlich sollte man den Windows-Diensten misstrauen, die derart konfiguriert sind. Vermutlich haben es sich die Entwickler damit einfach zu leicht gemacht -- pikant, wenn es sich dabei um sicherheitsrelevante Software handelt. Aufgrund der bislang vorliegenden Tatsachen aber von einem Designfehler in der Architektur zu sprechen, scheint überzogen. (ps)
