Sicherheitsproblem beim Message-Handling des Windows-Kernels

Microsoft hat ein Advisory veröffentlicht, in dem der Konzern ein potenzielles Sicherheitsleck im Kernel von Windows NT, Windows Terminal Server, Windows 2000 und Windows XP beschreibt. Allerdings muss ein Angreifer, um das Leck ausnutzen zu können, lokalen Zugang zu der Maschine haben oder über eine Terminal-Session mit dem System verbunden sein. Dann ermöglicht ein Buffer Overflow das Ausführen beliebigen Codes; das Problem entsteht durch das Verfahren, mit dem der Kernel Nachrichten an einen Debugger weitergeben könnte. Ein Angreifer kann durch Ausnutzen der Lücke etwa User-Accounts mit Administrator-Privilegien einrichten.

Microsoft stuft das Problem nicht als kritisch ein, sondern gibt ihm nur das Security-Rating important: Bei nächster Gelegenheit solle man den Patch installieren, den Microsoft für alle betroffenen Systeme über das Advisory als Einzelpakete zum Download bereitstellt. Die Redmonder Sicherheitsexperten gehen davon aus, dass bei Server-Installationen die Möglichkeiten zum Login an der lokalen Konsole oder per Terminal-Session restriktiv gehandhabt werden. Daher sei das Leck vor allem bei Client-Systemen oder Terminal-Servern ein Problem.

Das Sicherheitsleck ist vergleichbar zu dem kürzlich aufgetauchten ptrace-Bug im Linux-Kernel, mit dem sich ein Angreifer Root-Rechte verschaffen konnte, wenn er direkten Zugang zum betroffenen System hatte. Im Unterschied zu Linux allerdings dürften die meisten Anwender auf ihren Client-Systemen unter Windows sowieso mit Adminsitrator-Rechten angemeldet sein, ein Angreifer mit lokalem Zugang müsste sich entsprechende Rechte also nicht erst verschaffen. Anders sieht es aber beispielsweise auf Terminal-Servern aus; auch ist die Frage, ob alle Administratoren von Windows-Servern so restriktiv mit interaktivem Zugang zu den Systemen umgehen, wie Microsoft sich das vorstellt. (jk)