Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste kritischer Bugs samt zugehörigen Fixes. Durch diesen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.
Die aktuellen Security Bulletins MS04-021 bis MS04-024 behandeln gravierende Sicherheitslücken im Internet Information Server 4.0, im Task Scheduler, in den Windows-Hilfe-Funktionen sowie in der Shell-API. Besonders die beiden letzten erfordern Ihre Aufmerksamkeit: Über diese bereits seit Januar bekannten Lücken, die sich via Internet Explorer ausnutzen lassen, haben bereits zahllose Attacken stattgefunden.
Weniger dramatisch wirken sich die in den Bulletins MS04-019 und MS04-020 beschriebenen Sicherheitslücken aus, auch wenn Microsoft sie als "hoch kritisch" einstuft. Bei beiden handelt es sich um Möglichkeiten zur Rechteausweitung, die nur lokale und als Benutzer angemeldete Angreifer nutzen können.
Das Security Bulletin MS04-018 schließlich beschäftigt sich mit einem ärgerlichen Fehler in Outlook Express, über den sich mittels entsprechend präparierter E-Mails das Programm bereits beim Start zum Absturz bringen lässt.
Auf den folgenden Seiten finden Sie zu jedem Bug einen Link zum Update/Patch von Microsoft, der das Problem fixen sollte. Möchten Sie den Patch aber erst noch evaluieren, können Sie sich meist auch mit dem angegebenen Work-around behelfen. Aufschlussreich sind die Links zu CVE (Common Vulnerabilities and Exposures). Das dort bei "Assigned" angegebene Datum zeigt, dass etliche der Lücken bereits seit Monaten bekannt sind. Allzu lange sollten Sie sich daher mit dem Einspielen der Patches nicht mehr Zeit lassen.
MS04-018 - Kumulatives Sicherheits-Update für Outlook Express
Das im Microsoft Security Bulletin MS04-018 beschriebene, kumulative Update für Outlook Express 5.5 und 6 beseitigt eine von Microsoft als "mittel" eingestufte Sicherheitslücke, über die externe Angreifer die Anwendung zum Absturz bringen können.
Ursache des Problems ist ein Fehler bei der Überprüfung von E-Mail-Headern. Dies kann der Angreifer ausnutzen, um durch entsprechend präparierte E-Mails die Anwendung zum Absturz zu bringen.
Speziell unter Outlook Express erweist sich das bei aktivierter Vorschau als tückisch, da die Applikation dann bereits beim Start abstürzt und die schädliche Mail manuell entfernt werden muss. Microsoft empfiehlt deswegen, das Update umgehend einzuspielen. Eine entsprechende Update-Matrix finden Sie im Security Bulletin.
Datum | 13.07.2004 |
|---|---|
| |
Warnstufe | mittel |
Betrifft | Outlook Express 5.5 SP2 Outlook Express 6 Outlook Express SP1 Outlook Express für Windows Server 2003 |
Auswirkung | Denial of Service |
Work-around | Deaktivieren Sie das Vorschau-Fenster |
Update/Patch | |
CVE |
MS04-019 - Rechteausweitung über Utility-Manager
Eine als hoch kritisch eingestufte Schwachstelle in Windows 2000, über die lokale Benutzer ihre Rechte ausweiten können, beschreibt das Microsoft Security Bulletin MS04-019.
Die Sicherheitslücke wird dadurch verursacht, dass der Utility-Manager ("utilman.exe") Anwendungen auf unsichere Weise startet. Dies kann der Angreifer ausnutzen, indem er eine entsprechend präparierte Message an den Utility-Manager-Prozess sendet. Dazu muss er sich allerdings über ein gültiges Benutzerkonto lokal angemeldet haben. Eine erfolgreiche Attacke verschafft dem Angreifer vollen Systemzugriff.
Als Work-around können Sie den Utility-Manager über die Einstellungen für Gruppenrichtlinien deaktivieren. Allerdings beschränkt dies den einfachen Zugriff auf viele der Eingabehilfen des Betriebssystems. Spielen Sie daher umgehend das Update ein.
Datum | 13.07.2004 |
|---|---|
| |
Warnstufe | hoch |
Betrifft | Microsoft Windows 2000 SP2/3/4 |
Auswirkung | Lokale Rechteausweitung |
Work-around | Deaktivieren Sie den Utility-Manager |
Update/Patch | |
CVE |
MS04-020 - Rechteausweitung über POSIX-Subsystem
Das Microsoft Security Bulletin MS04-020 beschreibt eine von Microsoft als "bedeutend" eingestufte Sicherheitslücke im POSIX-Subsystem, über die lokale Benutzer ihre Rechte ausweiten und beliebigen Code im Rechtekontext des lokalen Systems ausführen können. Von der Schwachstelle betroffen sind Windows NT Workstation und Server sowie Windows 2000.
Ursache des Problems ist ein Begrenzungsfehler im POSIX-Subsystem, über den der Angreifer einen Pufferüberlauf provozieren kann. Eine erfolgreiche Attacke setzt allerdings voraus, dass der Angreifer sich über ein gültiges Benutzerkonto angemeldet hat.
Die Deaktivierung des POSIX-Subsystems über den entsprechenden Registry-Eintrag stellt einen möglichen Work-around dar. Details dazu finden Sie im Security Bulletin im Abschnitt "Einzelheiten zu dieser Sicherheitsanfälligkeit". Daneben hat Microsoft Updates für Windows NT 4.0 Server und Workstation, den Windows NT 4.0 Terminal Server und Windows 2000 veröffentlicht.
Datum | 13.07.2004 |
|---|---|
| |
Warnstufe | hoch |
Betrifft | Microsoft Windows NT 4.0 Workstation SP6a, Microsoft Windows NT 4.0 Server SP6a, Microsoft Windows NT 4.0 Terminal Server Edition SP6, Microsoft Windows 2000 SP2/3/4 |
Auswirkung | Lokale Rechteausweitung |
Work-around | Deaktivieren Sie das POSIX-Subsystem |
Update/Patch | |
CVE |
MS04-021 - Systemzugriff über IIS 4.0
Eine hoch kritische Sicherheitslücke im Internet Information Server (IIS) 4.0 beschreibt das Microsoft Security Bulletin MS04-021. Betroffen sind Systeme mit dem IIS 4.0 unter Windows NT 4.0 Server und Workstation.
Ursache des Problems ist ein Begrenzungsfehler, der bei der Verarbeitung permanenter Redirects auftritt. Dies kann ein externer Angreifer nutzen, um mittels eines überlangen URL (mehr als 64 KByte) einen Pufferüberlauf zu verursachen und beliebigen Code im Rechtekontext des Lokalen Systems auszuführen.
Zur Umgehung des Problems können Sie existierende Redirects über den IIS-Konfigurationsmanager deaktivieren, mit dem Dienstprogramm URLscan die maximale Länge von URLs beschränken oder eine ähnliche Limitierung über den Schlüssel "MaxClientRequestBuffer" in der Registry treffen. Details dazu finden Sie im Abschnitt "Einzelheiten zu dieser Sicherheitsanfälligkeit" des Security Bulletins.
Ein Update für Windows NT 4.0 Server und Workstation beseitigt die Sicherheitslücke. Es setzt einen installierten Service Pack 6a voraus.
Datum | 13.07.2004 |
|---|---|
| |
Warnstufe | hoch |
Betrifft | Microsoft Windows NT 4.0 Workstation SP6a, Microsoft Windows NT 4.0 Server SP6a |
Auswirkung | Systemzugriff von extern |
Work-around | Deaktivieren Sie alle Redirects oder schränken Sie die zulässige Länge für URLs ein |
Update/Patch | |
CVE |
MS04-022 - Systemzugriff über Task-Scheduler
Das Microsoft Security Bulletin MS04-022 beschreibt eine hoch kritische Sicherheitslücke im Task-Scheduler ("Taskplaner"), über die externe Angreifer unter bestimmten Umständen vollen Systemzugriff erhalten können. Betroffen sind Windows NT 4.0, Windows 2000 und Windows XP.
Das Problem wird durch einen Begrenzungsfehler verursacht, der bei der Überprüfung von Anwendungsnamen im Task Scheduler auftritt. Um die Schwachstelle auszunutzen, muss der Angreifer eine Webseite entsprechend präparieren und das Opfer dazu verleiten, diese zu besuchen.
Eine erfolgreiche Attacke verschafft dem Angreifer vollen Systemzugriff im Sicherheitskontext des Opfers. Für Benutzer, deren Konten mit niedrigeren Systemrechten konfiguriert sind, besteht also ein geringeres Risiko als für User, die mit Administrator-Berechtigung arbeiten.
Windows NT 4.0 ist von der Sicherheitslücke nur dann betroffen, wenn der Internet Explorer 6 installiert wurde. Unter Windows Server 2003 sowie Windows 98/98SE/Me tritt der Fehler grundsätzlich nicht auf, auch wenn Internet Explorer 6 installiert ist.
Ein echter Work-around für das Problem existiert nicht. Microsoft empfiehlt das Einspielen des Patches oder keinem Link zu nicht bekannten Websites zu folgen. Des Weiteren sollten Sie keine JOB-Dateien aus nicht absolut vertrauenswürdigen Quellen öffnen oder speichern.
Datum | 13.07.2004 |
|---|---|
| |
Warnstufe | hoch |
Betrifft | Microsoft Windows NT 4.0 SP6a mit IE6 (Workstation, Server, Terminal Server Edition), Microsoft Windows 2000 SP2/3/4, Microsoft Windows XP, Microsoft Windows XP 64-Bit-Edition SP1 |
Auswirkung | Systemzugriff von extern |
Work-around | Folgen Sie keinen Links aus nicht absolut vertrauenswürdigen Quellen |
Update/Patch | |
CVE |
MS04-023 - Systemzugriff über showHelp() und HTML-Hilfe
Das Microsoft Security Bulletin MS04-023 beschreibt zwei hoch kritische Sicherheitslücken in den Hilfe-Funktionen von Windows, über die externe Angreifer vollen Systemzugriff erhalten können. Die Schwachstellen treten in allen Windows-Versionen auf, sofern der Internet Explorer 5.5 oder 6 installiert ist.
Zum einen können externe Angreifer über einen speziell präparierten URL beliebigen Code in der Lokalen Sicherheitszone ausführen. Dieses Problem ist seit Januar 2004 bekannt, eine nähere Beschreibung finden Sie im tecCHANNEL-Security-Report 1785. Zum anderen ermöglicht ein nicht näher beschriebener Fehler in der HTML-Hilfe-Funktion das Ausführen beliebigen Codes auf dem System, sofern der Benutzer mit Administrator-Rechten angemeldet ist.
In beiden Fällen sind auch Angriffe via Outlook/Outlook Express über entsprechend präparierte E-Mails möglich. Microsoft beschreibt im Abschnitt "Einzelheiten zu dieser Sicherheitsanfälligkeit" des Security Bulletins eine ganze Reihe möglicher Work-arounds für die Schwachstellen, die jedoch die Systemfunktionalität deutlich einschränken.
Ein umgehendes Update ist daher dringend angeraten. Eine entsprechende Update-Matrix finden Sie im Security Bulletin.
Datum | 13.07.2004 |
|---|---|
| |
Warnstufe | hoch |
Betrifft | alle Windows-Varianten |
Auswirkung | Systemzugriff von extern |
Work-around | |
Update/Patch | |
CVE |
MS04-024 - Systemzugriff über gespoofte Dateitypen
Das Microsoft Security Bulletin MS04-024 beschreibt eine Sicherheitslücke in der Windows-Shell-API, über die externe Angreifer mittels gefälschter Dateitypen vollen Systemzugriff erlangen können. Betroffen sind alle Windows-Varianten.
Das Problem wird dadurch verursacht, dass der Angreifer den Internet Explorer über eine in den Dateinamen eingebettete CLSID dazu veranlassen kann, eine Datei mit einer anderen Applikation zu öffnen, als die Dateierweiterung vermuten lässt. Auf diesem Weg kann er über eine entsprechend präparierte Website dem Opfer Schad-Software unterschieben.
Eine erfolgreiche Attacke verschafft dem Angreifer vollen Systemzugriff im Sicherheitskontext des Opfers. Für Benutzer, deren Konten mit niedrigeren Systemrechten konfiguriert sind, besteht also ein geringeres Risiko als für User, die mit Administrator-Berechtigung arbeiten.
Diese Sicherheitslücke ist seit Januar 2004 bekannt, eine nähere Beschreibung finden Sie im tecCHANNEL-Security-Report 1997. Es existieren keinerlei brauchbare Work-arounds, weswegen ein umgehendes Update dringend anzuraten ist. Eine entsprechende Update-Matrix finden Sie im Security-Bulletin.
Datum | 13.07.2004 |
|---|---|
| |
Warnstufe | hoch |
Betrifft | alle Windows-Varianten |
Auswirkung | Systemzugriff von extern |
Work-around | |
Update/Patch | |
CVE |
Updates, aber keine Sicherheit
Trotz aller Updates von Microsoft bleiben Windows-Systeme auf Grund zahlreicher ungepatchter Schwächen im Internet Explorer und seinem Umfeld sowie in "Features" des Betriebssystems weiter ein offenes Sicherheitsrisiko.
Über eine ganze Reihe bekannter Lücken können Angreifer, meist über entsprechend präparierte Websites, Schad-Software auf das System laden und dort ausführen. Dies betrifft nicht ausschließlich den Internet Explorer; vor allem gefährliche URI-Handler wie etwa "shell:" können Angreifer auch über andere Browser ausnutzen.
Daher sollten Sie vor allem beim Surfen im Netz der Netze weiter Vorsicht walten lassen. Dies gilt vor allem in Hinsicht auf jegliche Links von und zu nicht absolut vertrauenswürdigen Websites. Tagesaktuelle Informationen zur Bedrohungslage bieten Ihnen dabei unsere tecCHANNEL-Security-Reports, die Sie auf Wunsch auch kostenlos per E-Mail erhalten. (jlu)