General-Patch für Telnet-Service in Win 2000

Microsoft hat entdeckt, dass der Telnet-Service in Windows 2000 Server sehr löchrig ist. Ein Patch, der die insgesamt sieben Sicherheitslücken schließen soll, steht zum Download bereit.

Die Sicherheitslücken lassen sich laut Microsoft-Bulletin MS01-31 in drei Kategorien einteilen: DoS -Attacken, Ausführen von Code mit allen Rechten und Ausspionieren von Benutzernamen über Telnet. Microsoft bietet nun einen Patch für alle Sicherheitsprobleme an.

Die DoS-Kategorie ist mit vier Lücken die größte. Der Telnet-Service von Windows 2000 lässt sich dabei auf unterschiedliche Weise übertölpeln. Zum einen ist es möglich, Sitzungen auf eine bestimmte Weise zu starten, die es Telnet unmöglich macht, sie auch nach Ablauf des Time-Out wieder zu schließen. Bei ausreichender Zahl verstopfen diese offenen Sitzungen dann den Zugang für andere Benutzer. Zum anderen lässt sich durch wiederholtes Öffnen und Schließen von Sitzungen der Dienst ebenfalls lahm legen. Das Beenden der Sitzungen muss dabei auf eine bestimmte Weise erfolgen, die Telnet dazu bringt, für die Sitzung verwendete Systemressourcen nicht mehr frei zu geben.

Die dritte DoS-Attacke wird über ein bestimmtes Kommando bei der Anmeldung möglich. Telnet stürzt dann ab und Administratoren müssen den Dienst neu starten, um einen Normalbetrieb zu ermöglichen. Zu guter Letzt können Angreifer mittels normalen Zugangsprivilegien andere Telnet-Sitzungen schließen ohne Administratorrechte zu besitzen. Die Telnet-Management-Konsole an sich lasse sich zwar nur mit Admin-Rechten aufrufen, einige Systembefehle bedürfen dieser Privilegien anscheinend nicht. Hat ein Angreifer Zugang zu einem Telnet-Server, kann er diese Systembefehle einsetzen.

Für das Erschleichen von Privilegien reicht nach Einschätzung von Microsoft eine Telnet-Sitzung allein nicht aus. Zumindest müsste der Angreifer die Rechte haben, Programme über Telnet auf den Server zu laden und auszuführen, was eher unwahrscheinlich sei. Gelingt es dem Angreifer aber, diese Rechte zu erlangen, auf welchem Weg auch immer, kann er die Sicherheitslücke nutzen, um den Server mit allen Rechten zu übernehmen: Telnet vergibt für jede Sitzung eine so genannte Named Pipe. Das ist ein Speicherbereich, den sich Prozesse zur Kommunikation untereinander teilen. Enthält die Named Pipe Code, wird der beim Initialisieren der Sitzung ausgeführt. Das Problem ist, dass die mittels Algorithmus vergebenen Namen der Sitzungen leicht vorhersagbar sind. Ein Angreifer könnte so eine Named Pipe benennen, die gemäß diesem Namensmuster in nächster Zeit an der Reihe ist und darin Code seiner Wahl unterbringen. Findet Telnet nach der Namensvergabe eine bereits vorhandene Pipe mit dem Namen, wird diese ausgeführt.

Für das Ausspionieren und im schlimmsten Fall Eindringen ins Netzwerk über Telnet bedarf es ebenfalls einiger Vorkenntnisse, zum Beispiel eines Benutzernamens. Außerdem muss der Telnet-Server Teil einer Domäne sein. Stellt der Spion bei der Anmeldung über Telnet den Name der Domain vor den Benutzernamen, wird die Domäne nach diesem Benutzerzugang durchsucht. Ein Eindringen ist damit allein nicht möglich, weil der Angreifer das Passwort des Benutzers nicht kennt. Microsoft bezieht seine Ausführungen zur Lücke deshalb auf den Gast-Zugang des Telnet Servers. Der Gastzugang hat zwar üblicherweise nur eingeschränkte Rechte, mit der manipulierten Anmeldung könnte man aber auch bei eingeschränkten Rechten in die Domäne eindringen. Je nach Konfiguration des Gastzugangs können dort Dateien verändern werden.

Weitere Informationen finden Sie im Windows 2000-Bugreport. (uba)