Peinliche Sicherheitslücke in Windows 2000 (Update)
Aktuelle Vorabversionen von Windows 2000 offenbaren eine Lücke, welche die Verschlüsselungsfunktion im Dateisystem nutzlos machen kann.
James Grace und Thomas Bartlett haben herausgefunden und dokumentiert, dass im neuen Dateisystem (NTFS5) von Windows 2000 verschlüsselt abgelegte Dateien nicht vor Datendieben sicher sind. Davon betroffen sind die aktuellen Vorabversionen (Beta 3 und Release Candidate 1). Manipulationen an einer Installation von Windows 2000 genügen, um Zugriff auf solche Dateien zu erlangen - das gilt jedenfalls für autonome, also nicht in einer Domäne betriebene Windows-2000-Systeme (etwa Notebooks).
Bei Windows NT 4.0, dem Vorläufer von Windows 2000, gilt das Dateisystem (NTFS4) als sicher, ist jedoch nicht vor externen Angriffen, etwa mit DOS oder einer zweiten NT-Installation gefeit. Das wollte Microsoft bei Windows 2000 ändern. Dessen neues Dateisystem (NTFS5) verschlüsselt Dateien auf Wunsch. Nur in Notfällen können Administratoren diese Dateien einsehen. Ein altbekanntes NT-Hintertürchen, nämlich das Entfernen der Benutzerinformationen (SAM), steht allerdings weiter offen, um auch in eine Installation von Windows 2000 einzubrechen.
Damit erlangt ein Eindringling vollen Zugriff als Administrator auf das System, ohne ein Passwort eingeben zu müssen. Gleichzeitig erhält er zumindest Zugriff auf die Dateien aller Administratoren, selbst wenn diese verschlüsselt sind. Bei der Standardinstallation von Windows 2000 (Beta 3 oder Release Candidate 1) verpasst das System dem Standardbenutzer eines autonom benutzten Systems von sich aus Administrator-Status. Das lässt sich mit dem Release Candidate 1 sehr einfach nachvollziehen. In wie weit sich dieser Angriff auch auf Systeme in einer Domäne ausdehnen lässt, blieb vorerst unklar. Microsoft will sich laut der Entdecker der Sache annehmen.
Die Entdecker Bartlett und Grace verbreiten derweil über ihre Web-Site, dass das EFS (Encrypting File System) laut Microsoft kein Thema sei ("Microsoft says that EFS is not an issue so we have taken down the site."). Das Originaldokument sowie die Beispielprogramme sind damit nicht mehr direkt zugänglich. Allerdings findet sich die Beschreibung inzwischen auch auf einer anderen Web-Site. Da sich die aufgezeigte Lücke - wie zuvor dargelegt -reproduzieren läßt, bleibt unklar, was die Autoren dazu bewogen hat, ihr Papier zurückzuziehen und sich für die gestiftete Verwirrung zu entschuldigen. (ps)
