Microsoft-Netzwerk erneut gehackt

Das Microsoft-Netzwerk wurde erneut Ziel eines Angriffs. Ein holländischer Hacker mit dem Pseudonym Dimitri behauptet, Zugang zu einigen Webservern von Microsoft erlangt zu haben. Dabei machte er sich die bekannte Unicode-Sicherheitslücke im Internet Information Server zunutze. Microsoft hat es versäumt, den eigenen Patch zu installieren.

In einem Interview mit IDG News Service (IDGNS) sagte Dimitri, er habe einen kurzen Text ("Hack the planet") auf einen Microsoft-Webserver geladen und Einblicke in die Serverstruktur erhalten. Unter anderem habe er Zugang zu den Download-Seiten von Microsoft gehabt. Erst vor Wochenfrist war Microsoft Opfer eines massiven Angriffs geworden, bei dem vermutlich auch der Quellcode von einem neuen Programm gestohlen wurde (siehe weitere News zum Thema).

Dimitri erklärte in dem Interview, er habe Dateien mit verschlüsselten Passwörtern und Benutzernamen heruntergeladen. Er wolle aber keinen Gebrauch davon machen, sagte der Hacker, obwohl sie mit einem Tool einfach zu entschlüsseln wären. Zur Microsoft-Serverstruktur meinte er, dass die Domain Houston heiße und alle angeschlossenen Webserver mit demselben Image aufgesetzt sind.

Laut IDGNS hat ein Microsoft-Sprecher bestätigt, dass ein Hacker Zugang zu einem Webserver hatte. Der aber sei nur für Redirect-Zwecke zu anderen Download-Bereichen eingesetzt worden. Dateien konnte man von diesem Server nicht herunter laden.

Besonders fatal ist, dass Dimitri über die bekannten Unicode-Sicherheitslücke (Web Server Folder Traversal vulnerability ) eingedrungen ist, für die Microsoft bereits am 10. August einen Patch herausgebracht hatte. Zudem wurde auf die Lücke am 17. Oktober erneut durch ein Security Bulletin hingewiesen. Microsoft betont in dem Bulletin ausdrücklich, dass Kunden unbedingt den Patch installieren sollen. Microsoft selbst hat das unterlassen und entschuldigt sich mit der Größe des Netzwerkes, das zudem eine magische Anziehungskraft auf Hacker ausübe. Microsoft-Sprecher Adam Sohn sagte gegenüber IDGNS, es sei schwer zu kontrollieren, ob auf allen Servern tatsächlich alle relevanten Patches auch tatsächlich aufgespielt seien. Patches sollten eigentlich noch am selben Tag auf allen Servern aufgespielt sein.

Die Unicode-Lücke betrifft den Internet Information Server in den Versionen IIS 4 und 5. Durch Eingabe einer speziell angepasste URL lassen sich die Verzeichnisse eines Webservers durchsuchen. Sind die Dateien in einem solchen Verzeichnis mit Vollzugriff versehen, können sie beispielsweise auch gelöscht werden. Die Patches für IIS 4 und 5 samt Installationsanleitung finden Sie hier.

Ergänzende Informationen zum Thema Sicherheit finden Sie in den Bugreports zu Windows NT, Internet Explorer und Windows 2000. (uba)