Über den im Patch behobenen Fehler kann ein Angreifer den DNS-Cache der betroffenen Produkte manipulieren und somit einen Spoofing-Angriff durchführen. Laut dem Security Bulletin von Microsoft liegt der Fehler in der Art begründet, wie die Produkte mit den Ergebnissen einer umgekehrten Namensauflösung verfahren. Bei einer umgekehrten Namensauflösung wird zu einer bekannten IP-Adresse ein Host-Name gesucht. Das Resultat dieser Abfrage speichert der fehlerhafte Code im DNS-Cache und verwendet es im Folgenden auch für normale DNS-Lookups, also die Umwandlung von Domain-Namen in IP-Adressen.
Betreibt ein Angreifer nun einen DNS-Server, kann er für eine IP-Adresse beliebige Domain-Namen als Antwort zurückgeben, etwa ebay.com oder postbank.de. Und hier kommt der Fehler ins Spiel: Bei einer späteren Namensauflösung der gespooften Domain liefert der ISA-Server die falsche IP-Adresse aus dem Cache aus, ohne zunächst eine weitere Anfrage zu starten.
(weiter auf der nächsten Seite)
Exploit-Szenario
Ein mögliches Exploit-Szenario sieht so aus, dass ein Angreifer seinem Opfer per HTML-E-Mail, Messenger oder über eine Webseite eine URL mit einer IP-Adresse zukommen lässt und ihn dazu bewegt, auf den Link zu klicken. Beim Reverse-DNS-Lookup liefert der Angreifer dann den falschen Namen zurück, der im Cache gespeichert wird. Jeder Nutzer des ISA-Server, der nun die gespoofte Seite besuchen will, landet auf der IP-Adresse des Angreifers. Hat dieser seine Seite entsprechend präpariert, kann er nun versuchen, dem Opfer Informationen wie Login, Pins oder Tans zu entlocken.
Als möglichen Workaround empfiehlt Microsoft das Abschalten des DNS-Cache. Dieser sollte jedoch nur auf Systemen angewendet werden, die man nicht patchen will oder kann, da sich die Lösung negativ auf die Performance auswirkt.
Betroffene Software und Links zu den verfügbaren Patches:
Microsoft Proxy Server 2.0 mit Service Pack 1
Microsoft Internet Security and Acceleration Server 2000 mit Service Pack 1 und 2
Microsoft Small Business Server 2000
Microsoft Small Business Server 2003 Premium Edition
Nicht betroffen ist der Microsoft Internet Security and Acceleration Server 2004.
Immer noch offen sind dagegen teilweise schwer wiegende Lücken im Internet Explorer (Drag & Drop/HTML Help Control und der IFRAME-Pufferüberlauf) und im Service Pack 2 von Windows XP. Besonders die Drag-and-Drop-Lücke des IFRAME-Pufferüberlaufs wird derzeit von diverser Malware ausgenutzt.
Das tecCHANNEL-Praxis "Sicher ins Internet, Mail, Fax & VPN" zeigt Ihnen, wie Sie einen Kommunikations- und Security-Server einrichten und konfigurieren. Das Praxis-Heft können Sie online zum Vorzugspreis von 12,99 Euro bestellen. (mha)