Microsoft schließt kritische Lücke in Windows
Durch einen Fehler in den XML Core Services genügt es, eine präparierte Seite mit dem Internet Explorer zu besuchen, um Opfer eines Angriffs zu werden. Darüber hinaus haben die Redmonder einen Patch zum Schutz vor SMB Reflection Attacks veröffentlicht.
- Daniel Bachfeld
Microsoft hat zwei Sicherheits-Updates für Windows 2000, XP, Server 2003, Vista, Server 2008 und Office veröffentlicht. Der im Bulletin MS08-069 beschriebene Patch schließt gleich drei Lücken in Microsofts XML Core Services 3.0, 4.0, 5.0 und 6.0. Einen der Fehler stuft Microsoft als kritisch ein, da es genügt, eine präparierte Seite mit dem Internet Explorer zu besuchen, um Opfer eines Angriffs zu werden. Ursache ist laut Bericht ein Speicherfehler beim Parsen von XML-Code, durch den sich Code einschleusen und ausführen lässt. Allerdings gilt diese Einstufung nur für die MSXML-Version 3.0, in den anderen Versionen stufen die Redmonder das Problem immerhin noch als "Hoch" ein.
Mit dem zweiten Patch (MS08-068) nehmen die Redmonder Angreifern eine Möglichkeit für so genannte SMB Reflection Attacks. Bei solchen Angriffen sendet der Betreiber eines manipulierten SMB-Servers die NTLM-Login-Credentials eines zuvor auf seinem Server versuchten Logins an sein Opfer zurück, um so Zugriff auf dessen PC zu erhalten und dort Programme auszuführen. Dafür müssen auf dem PC des Opfers allerdings die Ports 139 und 445 erreichbar sein, was etwa der Fall ist, wenn die Datei- und Druckfreigabe im LAN aktiviert ist und die Firewall die Ports nicht blockiert. Durch den nun veröffentlichten Patch soll Windows zurückgespielte Credentials als ungültig erkennen.
Neu ist das Problem eigentlich nicht. Microsoft beschreibt diesen Angriff unter anderem in dem aus dem Jahre 2005 stammenden Artikel "How to Shoot Yourself in the Foot with Security, Part 1". Bereits damals empfahlen die Redmonder als Prävention das SMB Message Signing zu aktivieren – dieser Tipp ist nun als Workaround im Bulletin aufgeführt.
Gemäß Microsoft Exploitability Index respektive Ausnutzbarkeitsindex gibt es für die SMB-Lücke bereits einen öffentlich verfügbaren Exploit. Für die kritische Lücke in XML rechnet der Hersteller demnächst mit einem Exploit: "Angreifercode für die Offenlegung von Informationen ist wahrscheinlich, da dieser bei domänenübergreifenden Angriffen verwendet werden kann." Anwender sollten sicher stellen, dass die Updates auch automatisch auf ihren Rechner gelangen.
Siehe dazu auch:
- Microsoft Security Bulletin Summary für November 2008, Zusammenfassung von Microsoft
(dab)
