Microsoft
- Christian Segor
Regelmäßige Leser dieser Seite vermissen vielleicht seit einigen Ausgaben Hinweise zum IIS. In der Tat verschwand er für eine Weile aus einschlägigen Newsgroups und Mailinglisten. Mitte März jedoch wurde ein neues Sicherheitsleck in der WebDAV-Implementierung bekannt, die zum Lieferumfang des IIS und damit zu jenem von Windows 2000 Server gehört.
Bei WebDAV handelt es sich um eine standardisierte Erweiterung von HTTP, die es ermöglicht, Dateien über HTTP zu editieren und zu verwalten. Sie setzt den IIS 5.0 voraus, denn frühere Versionen unterstützen die Protokollerweiterung nicht. Die fragliche Sicherheitslücke selbst besteht aus einem Pufferüberlaufs in einer Systemkomponente. Und wie immer in solchen Fällen besteht die Gefahr, dass Angreifer diesen Pufferüberlauf nutzen können, um eigenen Code in die ungesicherten Speicherbereiche zu platzieren und dort im entsprechenden Sicherheitskontext (in diesem Fall der des lokalen Systems) auszuführen.
Perfiderweise handelt es sich bei der betroffenen Systemkomponente nicht um irgendeine DLL, die zum IIS gehört, sondern um ntdll.dll, die als Teil des Kernels zu betrachten ist. Es liegt nahe, dass die Sicherheitslücke nicht nur mittels HTTP und WebDAV ausgenutzt werden kann, sondern dass auch andere Angriffswege bestehen, die nicht unbedingt die lokale Existenz einer IIS-Installation voraussetzen. Wohl aus diesem Grund empfiehlt Microsoft, den passenden Patch auf allen Rechnern mit Windows 2000 zu installieren, sei es auf dem Server oder auf der Workstation (815021).
Mit dem Namen der indonesischen Hauptinsel darf Microsoft seine Implementierung von ECMAScript ja nicht mehr bezeichnen; deswegen ist man in Redmond auf ”JScript“ ausgewichen. JScript ist als so genannte Script Engine für den Windows Scripting Host realisiert, und für diese Script Engine hat Microsoft jetzt einen Hotfix veröffentlicht, der einen weiteren Pufferüberlauf verhindern soll. Ein Angreifer kann dieses Sicherheitsloch mittels einer entsprechend preparierten Webseite (oder HTML-E-Mail) ausnutzen und beliebigen Code im Sicherheitskontext des Benutzers ausführen. Dabei handelt es sich deshalb um eine Sicherheitslücke, weil von der fraglichen Webseite aus gestartete Skripts nur Rechte innerhalb der eingeschränkten IE-Sicherheitszonen haben sollten und außerhalb nicht laufen dürften: schon gar nicht ohne Wissen und Zustimmung des Benutzers.
Ähnlich wie oben handelt es sich hierbei nicht um ein reines IE-Sicherheitsproblem, sondern um eine Lücke in einer Systemkomponente. Deswegen sollte jeder Windows-Benutzer den passenden Flicken aufspielen, auch wenn er einen anderen Browser als den IE verwendet. Eine Erste-Hilfe-Maßnahme ist das Abschalten von Active Scripting in der Internetzone (814078).
Normalerweise verwenden RPC-basierende Client/Server-Anwendungen statische Ports für den Datenaustausch; es ist aber möglich, Ports dynamisch mit RPC-Anwendungen zu verknüpfen: In diesem Fall ist es wünschenswert, über eine Art Namensauflösung zu verfügen, die einem Client mitteilt, auf welchem Port die gewünschte Applikation lauscht. Im Fall von RPC nennt sich dieser Auskunftsdienst ”RPC Endpoint Mapper“. Dieser Endpoint Mapper ist selbst eine RPC-Anwendung, verwendet den TCP-Port 135 und weist einen sicherheitsrelevanten Fehler auf, den man für DoS-Angriffe verwenden könnte. Ein solcher Angriff betrifft nicht nur den Enpoint Mapper selbst, sondern den gesamten RPC-Dienst auf dem betroffenen Rechner, was besonders bei kritischen RPC-Anwendungen mehr als ärgerlich sein kann. Aus diesem Grund ist es durchaus ratsam, den entsprechenden Patch zu installieren.
Betroffen ist neben Windows XP und 2000 auch NT 4.0, allerdings will Microsoft hierfür keinen Hotfix veröffentlichen. Als Grund gibt man an, dass RCP in NT 4.0 so tief im Betriebssystem verankert sei, dass die Behebung des Fehlers beinahe eine Neuimplementierung des gesamten Kernels bedeuten würde, was wiederum Kompatibilitätsprobleme mit bestehenden Anwendungen nach sich zöge (331953).
Näheres zu den einzelnen Sicherheitsproblemen sowie die angegebenen KnowledgeBase-Artikel gibt es online. (wm)
