Patch Day November 2004 - Lücke im ISA-Server

Microsoft ließ es beim aktuellen Patch Day etwas ruhiger angehen. Behoben wird gerade einmal eine Schwachstelle im ISA Server 2000 und im Proxy Server 2.0.

Über den im Patch behobenen Fehler kann ein Angreifer den DNS-Cache der betroffenen Produkte manipulieren und somit einen Spoofing-Angriff durchführen. Laut dem Security Bulletin von Microsoft liegt der Fehler in der Art begründet, wie die Produkte mit den Ergebnissen einer umgekehrten Namensauflösung verfahren. Bei einer umgekehrten Namensauflösung wird zu einer bekannten IP-Adresse ein Host-Name gesucht. Das Resultat dieser Abfrage speichert der fehlerhafte Code im DNS-Cache und verwendet es im Folgenden auch für normale DNS-Lookups, also die Umwandlung von Domain-Namen in IP-Adressen.

Betreibt ein Angreifer nun einen DNS-Server, kann er für eine IP-Adresse beliebige Domain-Namen als Antwort zurückgeben, etwa ebay.com oder postbank.de. Und hier kommt der Fehler ins Spiel: Bei einer späteren Namensauflösung der gespooften Domain liefert der ISA-Server die falsche IP-Adresse aus dem Cache aus, ohne zunächst eine weitere Anfrage zu starten.

(weiter auf der nächsten Seite)