Das MS Security Bulletin MS04-017 behandelt eine Schwachstelle in Crystal Reports und Crystal Enterprise von Business Objects, über die externe Angreifer Remote-DoS-Attacken führen und an sensitive Informationen gelangen können. Den von der Sicherheitslücke betroffenen Crystal Reports Web Viewer hat Microsoft auch in Outlook 2000 mit Business Contact Manager, in Visual Studio .NET 2003 und in Business Solutions CRM 1.2 integriert.
Ebenfalls eine Remote-DoS-Sicherheitslücke beschreibt das MS Security Bulletin MS04-016. In diesem Fall ist die IDirectPlay4-API betroffen, sodass Angreifer mit präparierten Datenpaketen ältere Netzwerkspiele zum Absturz bringen können.
Ungestopft bleibt allerdings eine schwere Sicherheitslücke in Microsoft Internet Explorer, über die externe Angreifer mittels eines präparierten HTML-Dokuments Code auf den Rechner laden und ausführen können. Hier hilft momentan nur ein "privater Patch-Day".
MS04-017 - Crystal Reports Web Viewer
Der in verschiedene Microsoft-Produkte integrierte Web Viewer der Reporting-Suite Crystal Reports von Business Objects weist eine Directory-Traversal-Sicherheitslücke auf. Sie beruht auf einem Fehler bei der Überprüfung von Eingaben via HTTP-Requests, der unzulässige Verzeichniswechsel ermöglicht.
Wenn auf dem attackierten System ein IIS-Webserver installiert ist, können externe Angreifer diese Schwachstelle ausnutzen, um über das Web-Interface an den Inhalt beliebiger Dateien zu gelangen oder auch Files zu löschen. Daneben sind auch Denial-of-Service-Attacken möglich.
Von der als mittelschwer eingestuften Sicherheitslücke sind drei Microsoft-Produkte betroffen. Die Entwickler-Suite Visual Studio .NET 2003 enthält eine angepasste Version des in Crystal Reports integrierten Berichts-Designers, das Laufzeitmodul und den Berichts-Viewer. Das Outlook-Add-on Business Contact Manager (BCM) wird zusammen mit Microsoft Office Small Business Edition 2003 und Microsoft Office Professional Edition 2003 ausgeliefert. Es enthält das Laufzeitmodul Crystal Reports für Visual Studio .NET 2003. Die Customer-Relationship-Management-Suite Microsoft Business Solutions CRM 1.2 schließlich umfasst das SDK von Crystal Reports Enterprise 9.0.
Auswirkung, Updates
Nicht ganz so kritisch fällt die Sicherheitslücke bei Microsofts CRM-Suite aus: Hier haben nur angemeldete Benutzer Gelegenheit, über die Sicherheitslücke auf Dateien zuzugreifen oder diese zu löschen. Bei Systemen mit Outlook/BCM beziehungsweise Visual Studio .NET allerdings können auch anonyme User entsprechende Attacken starten.
Als möglichen Workaround nennt Microsoft das Beenden des IIS via Konsole ('net stop w3svc') oder über den IIS Manager. Allerdings fallen dann auch vom System eventuell bereitgestellte FTP-, NTP- und SMTP-Dienste aus. Alternativ können Sie den Zugriff für das Verzeichnis "crystalreportwebformviewer2" beziehungsweise die Datei crystalimagehandler.aspx auf vertrauenswürdige Benutzer beschränken. Details dazu finden Sie im Original-Advisory.
Microsoft stellt für alle drei betroffenen Produkte Aktualisierungen zur Verfügung, die sie umgehend einspielen sollten:
Visual Studio .NET 2003 - Update
Outlook 2003 mit Business Contact Manager - Update
Microsoft Business Solutions CRM 1.2 - Update
MS04-016 - Direct Play
Zu Microsofts DirectX-Paket zählt auch DirectPlay, ein Netzwerkprotokoll für Multiplayer-Spiele. In der IDirectPlay-API dazu steckt in Version 4 ein Programmierfehler, den ein externer Angreifer zu Denial-of-Service-Attacken ausnutzen kann.
Durch Senden eines präparierten Datenpakets lässt sich eine verwundbare Anwendung zum Absturz bringen und muss dann neu gestartet werden. Von der Sicherheitslücke betroffen sind Systeme mit installiertem DirectX 7.x, 8.x und 9.x unter allen Windows-Versionen mit Ausnahme von Windows NT 4.0.
Bei der betroffenen Version 4 der IDirectPlay-API handelt es sich um eine ältere Variante. Aktuelle netzwerkfähige Spiele nutzen in der Regel die Version 8 dieses Interfaces. Daher betrifft die Schwachstelle vor allem ältere Games. Allerdings existiert zurzeit keine vollständige Liste der Spiele und Anwendungen, welche die betroffene DirectPlay4-APIs verwenden. Der von Microsoft im Bulletin empfohlene Workaround, keine entsprechende Software im Netz auszuführen, lässt sich also nur schwer umsetzen.
Daher sollten Sie gegebenenfalls umgehend eines der von Microsoft bereitgestellten Updates für Windows 98, 2000, 2003 beziehungsweise die von Ihnen verwendete DirectX-Version neu einspielen. Eine entsprechende Patch-Matrix finden Sie im Original-Advisory.
Schwere Sicherheitslücke in IE6
Zwar weisen Microsofts Patch-Day-Advisories für Juni nur zwei weniger schwer wiegende Sicherheitslücken aus. Im Internet Explorer 6 wurde jedoch vor kurzem eine gravierende Sicherheitslücke entdeckt, über die externe Angreifer Code auf das attackierte System laden und ausführen können. Diese Schwachstelle nutzen böswillige Internet-Sites bereits dazu aus, arglosen Benutzern Adware auf dem Rechner zu installieren.
Dazu nutzen die Angreifer zwei neu entdeckte Sicherheitslücken, die sich mit anderen, bereits bekannten Schwachstellen des Microsoft-Browsers kombinieren lassen. Als Einfallstor dient ein Fehler bei der Verarbeitung von URI-Handlern des Typs "ms-its:". Über einen entsprechend präparierten Location-Header kann der Angreifer lokal installierte CHM-Hilfedateien öffnen. Dabei lässt sich ein Cross-Zone-Scripting-Fehler dazu nutzen, das File im Sicherheitskontext des lokalen Systems auszuführen.
Diese Kombi-Schwachstelle markiert eine neue Qualität in der Bedrohung von Internet-Explorer-Anwendern durch Schadsoftware. Bislang wurden Lücken stets zunächst von Sicherheitsexperten entdeckt und publiziert, erst später modifizierten die Verbreiter von Schadsoftware die harmlosen Proofs of Concept für bösartige Zwecke. Die aktuelle Lücke jedoch wurde erst "in the wild" entdeckt, als Adware-Verbreiter mit ihrer Hilfe bereits Systeme massenhaft infizierten.
Work-around
Ein Patch für diese gefährliche Lücke liegt derzeit noch nicht vor. Ein möglicher Workaround wäre, Active Scripting generell zu deaktivieren und nur für vertrauenswürdige Sites gezielt zuzulassen (die eigentliche Infektion erfolgt über ein codiertes JavaScript). Allerdings schränkt das die Nutzungsmöglichkeiten des Browsers stark ein.
Eine mögliche Abhilfe bietet nach Tests von tecCHANNEL die Deaktivierung des gefährlichen URI-Handlers "ms-ist:" und seiner Kurzform "its:" in der Registry. Sie finden die entsprechenden Einträge im Hive HKEY_LOCAL_MACHINE unter dem Schlüssel SOFTWARE\\Classes\\PROTOCOLS. Nachdem wir auf einem Testsystem die Einträge "ms-its" und "its" umbenannten, ließen sich die uns vorliegenden Exploits nicht mehr nutzen.
Einen sichereren Weg zum sorgenfreien Surfen als solche inoffiziellen Work-arounds allerdings bietet die Variante, den mittlerweile extrem löcherigen MSIE als Webbrowser generell zu ersetzen. Als mögliche Alternativen stehen beispielsweise die Open-Source-Websuite Mozilla oder ihr Stand-alone-Browser Firefox an. (jlu)