Microsoft relativiert Lücke in SQL-Server

Microsoft hat sich zu einer Sicherheitslücke im SQL-Server geäußert, die das Ausspionieren von Passwörtern erlauben soll. Die unter anderem in den Bugtraq-Foren von Security Focus zu lesende Darstellung der Lücke hält Microsoft für stark übertrieben.

In einer Stellungnahme stimmt Microsoft dem Entdecker der Lücke, David Litchfield von NGSSoftware, zu, dass es unter Umständen möglich ist, Passwörter im SQL-Server auszuspionieren. Die dafür nötigen Umstände lassen Microsoft aber daran zweifeln, ob es sich überhaupt um eine Sicherheitslücke handelt.

Der von Litchfield beschriebene Weg zum Knacken der Benutzer-Passwörter über den Hash-Wert stehe nur Datenbank-Administratoren offen, teilte Microsoft mit. Außerdem müsse der SQL-Server im Mixed Mode laufen, eine Methode, die Microsoft wegen der direkten Authentifizierung an der Datenbank nicht empfehle. Bei der empfohlenen Authentifizierung über Windows gäbe es bei der Datenbank erst gar keine Passwörter zu knacken, heißt es von Microsoft.

Microsoft verweist außerdem darauf, dass bei Litchfields Methode einfach Passwörter "ausprobiert" werden, Administratoren-Rechte immer vorausgesetzt. Da Administratoren Anwender-Passwörter in jeden beliebigen Wert ändern könnten, hält Microsoft diese Methode für vergleichsweise mühselig.

Trotz der Argumente, die Microsoft gegen Litchfields hier nachzulesende Ausführungen (Cracking SQL-Server Passwords) anführt, soll "diese Schwäche" aus dem SQL-Server entfernt werden, teilte der Software-Konzern mit. (uba)