Universalpasswort für Microsofts Web-Server

Ein Microsoft-Mitarbeiter hat am Donnerstag in einem Interview mit dem Wall Street Journal bestätigt, dass einige Versionen des Internet Information Server eine eingebaute Hintertür besitzen. Darüber können Angreifer vollständigen Zugriff auf Webserver erlangen.

Solche "backdoors" schienen bisher eine böse Erinnerung aus Großrechner-Zeiten zu sein. Damals hatten sich die Entwickler aus reinem Hacker-Spaß oder für Notfälle ein Hintertürchen offen gelassen - auch wenn die Software dann zur Auslieferung kam. Beim DEC-Betriebssystem VMS waren bis in die Achtziger Jahre Dutzende dieser Backdoors bekannt, die nach und nach geschlossen wurden.

Laut dem Wall Street Journal (WSJ) hat Microsofts Leiter des Sicherheitszentrums, Steve Lipner, die Existenz der Hintertür im Produkt "Internet Information Server" (IIS) bestätigt. Betroffen sollen nur die Versionen mit den Server-Extensions für Frontpage 98 sein. Systeme unter Windows 2000 oder mit den Server-Extensions für Frontpage 2000 sollen das Sicherheitsloch nicht aufweisen. Lipner gab weiter an, derartige Backdoors widersprächen "absolut der Firmepolitik" und drohte den verantwortlichen Programmierern mit Kündigung.

Laut Microsoft soll das Löschen der Datei "dvwssr.dll" das Problem beheben. Das ließ sich bisher jedoch nicht verifizieren: Microsoft Deutschland ist für einen Kommentar nicht erreichbar, und das File findet sich bei einer Installation des IIS in der tecChannel-Redaktion nicht.

Über die Backdoor im IIS könnte sich ein Angreifer unbemerkt per Internet vollen Zugriff auf einen Webserver verschaffen. Die Entwendung und der Missbrauch von Daten, wie erst kürzlich bei Kreditkarten, ist dann ein leichtes. Auch jeglicher Form der Sabotage und Industriespionage ist durch eine solche Backdoor im Wortsinne Tür und Tor geöffnet.

Microsoft wollte seine Kunden per E-Mail von dem Problem in Kenntnis setzen. Zuvor hatte das Sicherheitsloch aber laut dem WSJ schon ein Mitarbeiter der E-Commerce-Firma ClientLogic entdeckt. Verifiziert wurde die Backdoor dann vom Sicherheitsexperten Rain Forest Puppy, der laut WSJ als Berater geschätzt wird aber dennoch nur im Untergrund operiert.

Die Motivation der Microsoft-Programmierer geht laut Rain Forest Puppy aus einem Text hervor, der sich in der Nähe des Backdoor-Codes befindet: "Netscape engineers are weenies!", zu deutsch: "Netscape-Entwickler sind Weicheier!". Mutig ist der Einbau einer solchen Hintertür allemal - aber auch völlig verantwortungslos für Zehntausende von Site-Betreibern, die auf die Microsoft-Produkte gesetzt haben. (nie)