Das seit mehr als einem Jahr (Juni 2003) verfügbare Service Pack 4 räumt mit einer Menge von Windows-2000-Fehlern auf. Eine Übersicht dazu gibt Microsoft in einem eigenen Knowledgebase-Artikel.
Wer die Servicepacks - etwa aus Kompatibilitätsgründen mit bestimmter Software - nicht installieren will, findet in diesem Artikel auch Verweise auf die entsprechenden Einzel-Patches oder die Beschreibung von Workarounds, um ein spezielles Problem zu lösen. Aktuelle Bugs in Windows 2000 finden Sie in dem Artikel Windows 2000: Neue Bugs und Fixes beschrieben.
Von SP4 behobene Fehler
Service Pack 4 behebt nachfolgend beschriebene Bugs (eventuell aufgeführte separate Patches gibt es weiterhin):
Rechteausweitung im Netzwerkverbindungs-Manager
Der Netzwerkverbindungs-Manager ruft bei einer neuen Verbindung einen so genannten Handler auf. Das ist eine Routine, die normalerweise im Sicherheitskontext des Benutzers läuft. Der Bug allerdings ermöglicht es einem Angreifer, eigenen Code als Handler im Kontext LocalSystem ausführen zu lassen, also mit vollen Privilegien.
Ein entsprechender Patch ist bereits verfügbar und sollte so bald wie möglich eingespielt werden. Die entsprechende Datei Netman.dll läuft nur unter Windows 2000 mit Service Pack 2 oder 3 und hat die Version 5.0.2195.5974.
Datum | 23.07.2002 |
|---|---|
| |
Betrifft | Windows 2000 P, S, AS |
Wirkung | Hacker kann sich Rechte als LocalSystem verschaffen |
Patch | |
Abhilfe | Patch installieren |
Infos |
Zugriffsverletzung bei Anmeldung
Gleich beim ersten Anmelden begrüßt Windows User mit einer Zugriffsverletzung in der Datei Unregmp2.exe. Dieser Fehler betrifft ausschließlich Anwender ohne Administratorrechte und tritt nur einmal auf. Trotzdem bleibt ein ungutes Gefühl - schließlich weiß niemand, welche Nebenwirkungen dadurch eventuell noch auftreten.
Service Pack 4 behebt den Bug.
Datum | 26.06.2003 |
|---|---|
| |
Betrifft | Windows 2000 P, S, AS |
Wirkung | Erstmaliges Anmelden ohne Administratorrechte verursacht Fehlermeldung |
Patch | Service Pack 4 |
Abhilfe | Service Pack 4 installieren |
Informationen |
Sicherheitslücke in DirectX
DirectX, Bestandteil aller modernen Windows-Versionen, ist von einer gravierenden Sicherheitslücke betroffen. Zwei Buffer Overruns in der DirectX-Komponente DirectShow erlauben es Angreifern, über manipulierte MIDI-Dateien beliebigen Code auf dem betroffenen Rechner auszuführen.
Windows-2000-User, die das Service Pack 4 installiert haben, sind auf der sicheren Seite.
Datum | 23.07.2003 |
|---|---|
| |
Betrifft | Alle Windows-Varianten mit DirectX-Versionen von 5.2 bis 9.0a |
Wirkung | Ausführen beliebigen Codes |
Patch | Service Pack 4 |
Abhilfe | Service Pack 4 installieren |
Informationen |
Sicherheitsleck im Utility Manager
Die in Windows integrierten Eingabehilfen, mit denen sich die Funktionen für Behinderte steuern lassen, weisen eine Schwachstelle auf. Der so genannte Utility Manager prüft Windows-Messages nur unzureichend, was ein Angreifer dazu missbrauchen kann, über speziell formatierten Programmcode beliebige Aktionen auf dem System auszuführen. Voraussetzung: Der Unbefugte hat sich an der lokalen Konsole oder über den Terminal-Manager angemeldet.
Service Pack 4 behebt den Fehler.
Datum | 09.07.2003 |
|---|---|
| |
Betrifft | Windows 2000 P, S |
Wirkung | Ausführen beliebigen Codes |
Patch | Service Pack 4 |
Abhilfe | Service Pack 4 installieren |
Informationen |
Pufferüberlauf durch manipulierte SMB-Pakete
Windows verwendet das SMB-Protokoll, damit Clients auf Ressourcen wie Dateien, Drucker oder Schnittstellen im Netzwerk zugreifen können. Schickt ein Client ein SMB-Paket, das eine kleinere Puffergröße angibt, als erforderlich wäre, an den Server, sollte der Server die Diskrepanz bemerken und das Paket verwerfen.
Doch ein Fehler bei der Gültigkeitsprüfung führt zu einem Pufferüberlauf. Auf diese Weise kann ein Angreifer ein System zum Absturz bringen, Daten zerstören oder beliebigen Code ausführen.
Service Pack 4 stopft die Sicherheitslücke.
Datum | 09.07.2003 |
|---|---|
| |
Betrifft | NT (Terminal-) Server 4.0; Windows 2000 P, S, AS; Windows XP Professional |
Wirkung | Ausführen beliebigen Codes |
Patch | Service Pack 4 |
Abhilfe | Service Pack 4 installieren |
Informationen |
Kritischer Fehler im Zertifikatmanager
Ein Fehler bei der Validierung von Zertifikatsketten führt dazu, dass ein Angreifer eine falsche Identität vortäuschen kann, etwa bei SSL-Webseiten, unterschriebenen E-Mails, bei Anmeldeverfahren, die auf Zertifikaten basieren, oder im schlimmsten Fall bei zu installierenden Programmen.
Microsoft hat einen Patch bereitgestellt, den jeder Anwender sofort installieren sollte. Einen kleinen Nachteil hat der Patch allerdings: Nach der Installation behauptet Windows von allen Hardware-Treibern, dass sie den Windows-Logo-Test nicht bestanden haben. Ursache hierfür ist das für die Treiber verwendete Zertifikat, das nun nicht mehr vom System anerkannt wird.
Ist Windows so konfiguriert, dass nur zertifizierte Treiber installiert werden dürfen, lässt sich nun überhaupt kein neuer Treiber mehr einrichten. Dieses Verhalten können Sie in den Systemeigenschaften / Hardware / Treibersignierung umstellen.
Datum | 04.09.2002 |
|---|---|
| |
Betrifft | Alle Windows-Versionen |
Wirkung | Angreifer kann falsche Identität vortäuschen |
Patch | |
Abhilfe | Patch installieren |
Infos |
Löschung von Zertifikaten
Ein spezielles ActiveX-Control ist in allen Windows-Versionen dafür zuständig, webbasierte Zertifikate in den lokalen Zertifikatsspeicher des Benutzers einzutragen. Ein Fehler in diesem Control ermöglicht es allerdings - in einem laut Microsoft sehr aufwendigen und komplizierten Verfahren -, auch Zertifikate vom lokalen System zu löschen.
Das kann unangenehme Folgen haben, etwa wenn Root-Zertifikate oder für die EFS-Verschlüsselung zuständige Zertifikate plötzlich weg sind.
Ein entsprechend aktualisiertes Control ist von Microsoft verfügbar und sollte sofort installiert werden. Unter Windows 2000 und XP behebt dieser Patch auch gleichzeitig einen Fehler im ActiveX-Control, das für die Registrierung von SmartCards zuständig ist.
Datum | 28.08.2002 |
|---|---|
| |
Betrifft | Alle Windows-Versionen |
Wirkung | Zertifikate können ungewollt gelöscht werden |
Patch | |
Abhilfe | Patch installieren |
Infos |
WebDAV-Anfragen immer im User-Kontext
Mit WebDAV, einer Erweiterung von HTTP, lassen sich Webinhalte von einem entfernten Standort aus erstellen und verwalten. Die Komponente in Microsoft-Produkten, die den Zugriff auf WebDAV-Ressourcen ermöglicht, heißt Internet Publishing Provider (IPP). Der IPP sollte Anfragen des Anwenders von Anfragen durch ein Script, das im Browser abläuft, unterscheiden können.
Genau diese Unterscheidung findet durch einen Implementierungsfehler aber nicht statt: Der IPP behandelt alle Anfragen im Sicherheitskontext des Users. Von dessen Berechtigungen hängt es also ab, welchen Schaden ein Angreifer über diese Lücke verursachen kann. Denkbar wäre beispielsweise ein Zugriff aufs Intranet oder auf webbasierte E-Mail.
Datum | 18.04.2001 |
|---|---|
| |
Betrifft | Windows 9x, Me, NT, 2000 |
Wirkung | Zugriff auf User-Daten |
Patch | |
Abhilfe | Patch installieren |
Informationen |
Bluescreen bei NAT und VPN
Ein Windows-2000-Server, der parallel zu Routing und Remote-Access auch NAT (Network Address Translation) und VPN (Virtual Private Network) anbietet, bleibt mit einer STOP-Meldung stehen. Der Grund ist, dass ein IP-Paket durch NAT aktualisiert wird, aber nicht der Referenzzähler für die Routen. Darum kann die für das Aufräumen zuständige Routine nicht korrekt funktionieren und das System bleibt stehen.
Es gibt zwar einen Fix von Microsoft, doch ist dieser nur über den (kostenpflichtigen) Support erhältlich. Bis zur Veröffentlichung des Fixes bleibt bloß, den NAT-Dienst auf einen anderen Server zu verschieben, der keine VPN-Verbindungen annimmt.
Datum | 18.02.2002 |
|---|---|
| |
Betrifft | Windows 2000 P, S, AS |
Wirkung | STOP-Meldung |
Patch | Service Pack 4 |
Abhilfe | SP4 installieren oder NAT-Dienste auf anderen Server verschieben |
Infos |
Rechner hängt beim Aufwachen aus Stand-by
Beim Aufwachen aus dem Stand-by-Modus (S3 Deep-Sleep) kann der Rechner abstürzen, wenn zwei IDE-Laufwerke an einem Kabel hängen. Das liegt daran, dass der Treiber das Busy-Signal des Laufwerks nicht überprüft, bevor er das Reset-Kommando schickt. Dadurch werden die beiden Laufwerke beim Neustart zurückgesetzt, ehe die Synchronisierung abgeschlossen ist.
Zwar müsste laut ATAPI-Spezifikation das Laufwerk das Reset-Signal ignorieren, solange es noch beschäftigt ist, aber manche tun das nicht.
Es gibt zwar einen Fix von Microsoft, der den Treiber veranlasst, das Busy-Signal zu respektieren, doch ist dieser nur über den (kostenpflichtigen) Support erhältlich. Ein Workaround für Betroffene ist das Verteilen der Laufwerke auf die beiden IDE-Kanäle.
Datum | 16.04.2002 |
|---|---|
| |
Betrifft | Windows 2000 P, S, AS |
Wirkung | Beim Aufwachen aus Stand-by stürzt Rechner ab |
Patch | Nur auf Anfrage bei Microsoft |
Abhilfe | Laufwerke auf IDE-Kanäle verteilen |
Infos |
TURN killt SMTP-Server
Mit einem einfachen TURN-Befehl (RFC 821) kann man in einer Telnet-Sitzung den SMTP-Dienst von Windows 2000 abschießen. Normalerweise dient TURN in einer SMTP-Session dazu, die Rollen der beiden beteiligten Server zu verkehren - der Sender wird zum Empfänger und umgekehrt.
Ein böswilliger User kann den Bug zu einer DoS-Attacke nutzen, indem er sich einfach per Telnet mit dem SMTP-Dienst von Windows 2000 verbindet und das Kommando TURN schickt.
Ein Patch ist - wie so oft - nur über den (kostenpflichtigen) Support zu erhalten. Bis zur allgemeinen Verfügbarkeit empfiehlt sich die Verwendung eines anderen SMTP-Dienstes nach außen.
Datum | 18.05.2002 |
|---|---|
| |
Betrifft | Windows 2000 P, S, AS |
Wirkung | SMTP-Dienst bleibt stehen |
Patch | Nur auf Anfrage bei Microsoft |
Abhilfe | Anderen SMTP-Dienst verwenden |
Infos |
Zugriffsverletzung im Drucker-Spooler
Ein Fehler in der Tcpmib.dll führt dazu, dass ein mittels SNMP verwalteter Druckserver unter Windows 2000 eine Schutzverletzung im Programm Spoolsv.exe verursacht. Danach steht die Druckwarteschlange auf diesem Server nicht mehr zur Verfügung, und es kann nicht mehr gedruckt werden.
Eine aktualisierte Tcpmib.dll gibt es nur beim kostenpflichtigen Support.
Datum | 07.08.2002 |
|---|---|
| |
Betrifft | Windows 2000 P, S, AS; SNMP |
Wirkung | Schutzverletzung |
Patch | Nur auf Anfrage bei Microsoft |
Abhilfe | Druckwarteschlange nicht per SNMP verwalten |
Infos |
Speichermedien verlieren Daten während Hibernation
Besitzern von Digitalkameras könnte etwas Ähnliches schon einmal passiert sein. Sie haben ein Speichermedium wie Compact Flash, Memory Stick oder Smart Media im Rechner eingelegt, Windows 2000 in den Ruhezustand versetzt und dann das Medium aus dem Rechner entfernt, um neue Aufnahmen zu machen. Wenn Sie danach das Medium erneut in den Rechner einlegen und ihn starten, befindet sich der alte Inhalt auf dem Medium - von den neuen Daten keine Spur. Das liegt daran, dass Windows 2000 beim Wechsel in den Ruhezustand den Inhalt des Mediums cached und dann wieder einspielt.
Ein Patch ist derzeit nur beim kostenpflichtigen Support verfügbar. In der Zwischenzeit empfiehlt es sich, zunächst den Rechner hochzufahren und erst dann das Medium einzulegen.
Datum | 29.07.2002 |
|---|---|
| |
Betrifft | Windows 2000 P, S, AS |
Wirkung | Daten verschwinden von Speichermedien |
Patch | Nur auf Anfrage bei Microsoft |
Abhilfe | Erst Rechner starten, dann Medium einlegen |
Infos |
Neue AGP-Karte auf Board mit VIA-Chipsatz
Der Einbau einer neuen AGP-Grafikkarte in einen Rechner mit VIA-Chipsatz kann dazu führen, dass das System beim nächsten Start hängen bleibt. Das liegt an Microsofts AGP-Treiber für VIA-Chipsätze (Viaagp.sys), der mit der Hardware-Änderung nicht zurechtkommt. Benutzer, die VIA-Treiber ihres Mainboard-Herstellers verwenden, sind davon nicht betroffen.
Ein aktualisierter VIA-Treiber von Microsoft ist über den (kostenpflichtigen) Support zu beziehen. Alternativ empfiehlt sich ein Wechsel auf den Herstellertreiber oder der Verzicht auf den Austausch der Grafikkarte, bis der neue Microsoft-Treiber öffentlich verfügbar ist.
Datum | 01.07.2002 |
|---|---|
| |
Betrifft | Windows 2000 (P, S, AS) auf Rechner mit VIA-Board |
Wirkung | Nach Installation neuer Grafikkarte hängt das System |
Patch | Nur auf Anfrage bei Microsoft |
Abhilfe | VIA-Treiber des Mainboard-Herstellers installieren |
Infos |
USB-2.0-Unterstützung
Unterstützung für den 480 Mbit/s schnellen Universal Serial Bus (USB) 2.0 enthält das aktuelle SP3 nicht, es ist jedoch über Windows-Update zu bekommen.
Bis dato kann Windows 2000 aber nur mit den folgenden EHCI-Controllern kommunizieren:
NEC PCI to USB Enhanced Host Controller B0 (PCI-ID: PCI\\VEN_1033&DEV_00E0&REV_01)
NEC PCI to USB Enhanced Host Controller B1 (PCI-ID: PCI\\VEN_1033&DEV_00E0&REV_02)
Intel PCI to USB Enhanced Host Controller (PCI-ID: PCI\\VEN_8086&DEV_24CD)
VIA PCI to USB Enhanced Host Controller (PCI-ID: PCI\\VEN_1106&DEV_3104)
Datum | 19.05.2002 |
|---|---|
| |
Betrifft | Windows 2000 P, S, AS |
Wirkung | Keine USB-2.0-Unterstützung |
Patch | Über windowsupdate.microsoft.com |
Abhilfe | Patch installieren |
Infos |
Kein Zugriff auf EFS
Auf Daten oder Files, die per Systemdienst Protected Storage oder Encrypting Files System (EFS) geschützt werden, kann unter Umständen nach Änderung des Domänen-Passworts nicht mehr zugegriffen werden.
Das liegt daran, dass die Verschlüsselung über einen Hash-Wert des Passworts erfolgt. Bei einer Passwortänderung verschlüsselt Windows 2000 die Daten erst dann neu, wenn das erste Mal darauf zugegriffen wird. Ist nun genau zu diesem Zeitpunkt der Domänen-Controller nicht erreichbar, schlägt die Neuverschlüsselung und damit der Datenzugriff fehl.
Ein Bugfix für dieses Problem ist zwar verfügbar, aber nur über den (kostenpflichtigen) Support zu beziehen. Bis dahin sollten Benutzer, die häufiger nicht mit dem DC verbunden sind, nach einer Änderung des Passworts sofort auf alle geschützten Daten und Files zugreifen. Damit wird die Verschlüsselung an das neue Passwort angepasst.
Datum | 06.05.2002 |
|---|---|
| |
Betrifft | Windows 2000 P, S, AS |
Wirkung | Kein Zugriff auf geschützte Daten |
Patch | Nur auf Anfrage bei Microsoft, SP4 |
Abhilfe | Nach Änderung des Passworts sofort auf geschützte Daten und EFS zugreifen |
Infos |
Windows bemerkt leere CD-R nicht
Tauscht man eine normale CD-ROM gegen eine unbeschriebene CD-R aus, zeigt der Windows Explorer weiterhin den Inhalt der CD-ROM an. Erst beim Versuch, ein Programm von der CD zu starten, kommt es zur Fehlermeldung.
Es gibt zwar einen Fix von Microsoft, doch dieser ist nur über den (kostenpflichtigen) Support erhältlich.
Datum | 10.05.2002 |
|---|---|
| |
Betrifft | Windows 2000 P, S, AS |
Wirkung | Explorer zeigt weiterhin Inhalt der vorhergehenden CD an |
Patch | Nur auf Anfrage bei Microsoft, SP4 |
Abhilfe | Keine |
Infos |
Windows Update erzwingt Scandisk
Wenn der Systemdienst "Automatische Updates" in der Version 3.0 ein kritisches Update auf einem FAT-Systemlaufwerk installiert, kommt es zu folgendem Effekt:
Der Treiber Fastfat.sys setzt beim Neustart des Systems den Status des Dateisystems auf "clean", da alle Daten ordnungsgemäß auf die Platte geschrieben wurden. Als Letztes wird allerdings das Programm Windows Update beendet, das den Status des Dateisystems wieder auf "dirty" setzt. Damit glaubt Windows beim nächsten Systemstart, das Dateisystem sei nicht in Ordnung und meldet, dass der Rechner nicht ordnungsgemäß heruntergefahren wurde. Das könnte bei einem unerfahrenen Anwender zu Irritationen führen.
Einen Patch gibt es derzeit nur beim (kostenpflichtigen) Support. Es reicht allerdings zu wissen, dass mit dem System alles in Ordnung ist.
Datum | 29.05.2002 |
|---|---|
| |
Betrifft | Windows 2000 P, S, AS |
Wirkung | Scandisk nach Update |
Patch | Nur auf Anfrage bei Microsoft, SP4 |
Abhilfe | Ignorieren |
Infos |
CPU-Auslastung 100 % beim Laden des Notebooks
Bei manchen Notebook-Herstellern ist das Netzteil so schwach ausgelegt, dass die Akkus nur sehr langsam geladen werden, wenn das Gerät gerade benutzt wird. Das an sich ist schon ärgerlich genug, doch unter Windows 2000 kommt noch ein weiterer Effekt hinzu.
Ein Fehler in Cmbatt.sys sorgt dafür, dass die CPU-Last auf 100 % steigt, während das Notebook geladen wird. Das Problem ist laut Microsoft der Algorithmus, der den Ladezustand in die Bildschirmanzeige im Systemtray umwandelt.
Ein Patch ist derzeit nur beim kostenpflichtigen Support verfügbar. In der Zwischenzeit empfiehlt es sich für Betroffene, den Rechner während des Ladens nicht zu benutzen.
Datum | 26.03.2002 |
|---|---|
| |
Betrifft | Windows 2000 P, S, AS |
Wirkung | CPU-Last steigt auf 100 % |
Patch | Nur auf Anfrage bei Microsoft, SP4 |
Abhilfe | Laden nur bei ausgeschaltetem Notebook |
Infos |
Neu: Keine RAS-Verbindungen zu Servern möglich
Auf die Installation von Service Pack 4 für Windows 2000 reagiert Ihr Rechner unter Umständen mit folgendem Fehler: Es können keine RAS-Verbindungen (RAS = Remote Access Service) zu einem Server aufgebaut werden. Der Versuch, eine Verbindung herzustellen, wird mit der Fehlermeldung "Skriptfehler" abgebrochen oder das Terminalfenster wird nicht gestartet. Es erscheint die Fehlermeldung "Dialog kann nicht geladen werden. Fehler 0xc000007a:"
Das erste Problem tritt dann auf, wenn ein RAS-Telefonbucheintrag auf eine RAS-Skriptdatei verweist. Nach der Installation von SP 4 funktionieren Programme, die mit der Win32-Funktion RasDial arbeiten, wegen einer wechselseitigen Dateiabhängigkeit der Datei "Rasscrpt.dll" nicht mehr. Der oben beschriebene Fehler tritt nicht auf, wenn Sie eine Verbindung zu dem RAS-Server über den Eintrag für die DFÜ-Verbindung aus dem Ordner Netzwerk- und DFÜ-Verbindungen herstellen.
Das zweite Problem kann laut Microsoft dann auftreten, wenn die Option Terminalfenster einblenden in den RAS-Eigenschaften oder den Eigenschaften für die DFÜ-Netzwerkverbindung aktiviert ist.
Es gibt zwar einen Fix von Microsoft, doch ist dieser nur über den (kostenpflichtigen) Support erhältlich. Er setzt ein installiertes Service Pack 4 voraus.
Datum | 22.03.2004 |
|---|---|
| |
Betrifft | Windows 2000 P, S, AS mit SP 4 |
Wirkung | RAS-Verbindungen schlagen fehl |
Patch | Auf Anfrage beim Microsoft Support erhältlich |
Abhilfe | Verbindungen über den Ordner "Netzwerk- und DFÜ-Verbindungen" herstellen |
Infos |
Keine Treiberinstallation über die Seite Windows Update
Microsoft bietet über die Seite Windows Update nicht nur Hotfixes für Sicherheitslücken an, sondern auch aktualisierte Treiber. Deren Installation scheitert jedoch, falls sich im Windows-Unterverzeichnis Inf "eine große Anzahl" von Inf-Dateien befindet. Eine genauere Mengenangabe bleibt Microsoft schuldig.
Das Problem lässt sich mit Service Pack 4 beheben.
Datum | 05.06.2003 |
|---|---|
| |
Betrifft | Windows 2000 P, S, AS; Windows XP Home/Professional/Media Center/Tablet PC |
Wirkung | Treiber von der Seite Windows Update lassen sich nicht installieren |
Patch | Service Pack 4 |
Abhilfe | Service Pack 4 installieren |
Informationen |
Festplatten-Performance nimmt ab
Besonders ärgerlich für Administratoren: Die Festplatten-Performance der von ihnen betreuten Systeme sinkt kontinuierlich. Nur durch einen Neustart der Rechner lässt sich die gewohnte Leistung wieder herstellen.
Eine starke Fragmentierung der Festplatte scheidet damit als Grund aus. Verursacher ist vielmehr der Classpnp-Treiber. Er überwacht Datenträger, um festzustellen, ob sie unter zu hoher Last stehen. Die damit einhergehende erhöhte Fehlerzahl veranlasst den Treiber, zunehmend Leistungsfunktionen der Datenträger zu deaktivieren. Das dynamische Reaktivieren dieser Funktionen unterstützt er indes nicht.
Service Pack 4 schafft Abhilfe.
Datum | 26.06.2003 |
|---|---|
| |
Betrifft | Windows 2000 P, S, AS |
Wirkung | Festplatte wird spürbar langsamer |
Patch | Service Pack 4 |
Abhilfe | Service Pack 4 installieren |
Informationen |
Von SP3 behobene Fehler
Um Daten ohne großen Aufwand auszutauschen, bietet sich die Infrarot-Schnittstelle (IrDA) an. Über diese verfügen nicht nur viele Desktops und Notebooks, sondern auch Drucker, PDAs und Handys.
Die Software-seitige Unterstützung ist meist direkt im Betriebssystem integriert. Der in Windows 2000 zuständige IrDA-Treiber enthält jedoch einen ungeprüften Puffer. Speziell manipulierte IrDA-Pakete nutzen diese Lücke und bringen durch einen Pufferüberlauf das angegriffene System zum Absturz.
Datum | 21.08.2001 |
|---|---|
| |
Betrifft | Windows 2000 P, S, AS |
Wirkung | Rechner stürzt ab |
Patch | |
Abhilfe | Patch oder Service Pack 3 installieren |
Informationen |
Speicherleck in NNTP-Dienst
Der NNTP-Dienst, der in NT 4.0, Windows 2000 und Exchange 2000 steckt, enthält ein Speicherleck. Diese Schwachstelle lässt sich mit speziell aufgebauten News-Postings ausnutzen.
Jedes Mal, nachdem die fehlerhafte Routine solch eine manipulierte Nachricht verarbeitet hat, wird der zuvor benötigte Speicher nicht wieder freigegeben. Bei einer entsprechend hohen Zahl manipulierter Anfragen können Angreifer den Server mit einer DoS-Attacke lahm legen.
Datum | 14.08.2001 |
|---|---|
| |
Betrifft | NT 4.0; Windows 2000 S, AS; Exchange 2000 |
Wirkung | DoS-Attacke |
Patch | |
Abhilfe | Patch oder Service Pack 3 installieren |
Informationen |
Manipulierte RPC-Anfragen
Mehrere RPC-Server, von denen Systemdienste in NT 4.0, Windows 2000, SQL- und Exchange-Server abhängen, prüfen Anfragen nicht korrekt. In einigen Fällen werden sogar Angaben akzeptiert, die die normale Verarbeitung verhindern. Die fraglichen Werte variieren von Server zu Server.
Der Schaden, den Hacker über diese Sicherheitslücke verursachen können, hängt vom attackierten RPC-Server und dessen Diensten ab. Die Spanne reicht vom kurzzeitigen "Aussetzer" des Rechners bis zur DoS-Attacke.
Datum | 26.07.2001 |
|---|---|
| |
Betrifft | Exchange Server 5.5/2000; SQL Server 7.0 / 2000; NT 4.0; Windows 2000 P, S, AS |
Wirkung | DoS-Attacke |
Patch | |
Abhilfe | Patch oder Service Pack 3 installieren |
Informationen |
Offenes Mail Relay über SMTP-Dienst
Eine Sicherheitslücke im SMTP-Dienst von Windows 2000 ermöglicht unerwünschtes Mail Relaying. Durch einen Fehler im Authentifizierungsprozess können sich Angreifer mit ungültigen Angaben gegenüber dem Dienst als Benutzer ausweisen. Auf diese Weise lässt sich das System zwar nicht administrieren, aber SMTP nutzen. Was durchaus ausreicht, um den attackierten Rechner als offenes Mail Relay zu verwenden, etwa für Spamming.
Standardmäßig wird der SMTP-Dienst von Windows 2000 nur auf Servern eingerichtet, bei der Professional-Installation muss der Anwender dies explizit angeben.
Datum | 05.07.2001 |
|---|---|
| |
Betrifft | Windows 2000 P, S, AS |
Wirkung | Unerwünschter Mail Relay |
Patch | |
Abhilfe | Patch oder Service Pack 3 installieren |
Informationen |
Offene Gast-Accounts über FTP-Server finden
Eine Schwachstelle der User-Verwaltung stellt stets der Gast-Account dar: Windows 2000 installiert ihn standardmäßig und ohne Passwort. Zum Glück ist das Gast-Konto per Default nicht aktiviert. Das übernehmen dann - sei es aus Bequemlichkeit oder Unkenntnis - häufig die Administratoren. Ganz Unerfahrene spendieren dabei oft noch ein paar zusätzliche Berechtigungen.
Damit spielen sie einem Angreifer gleich zwei Sachen in die Hände: Einen hinreichend bekannten Account-Namen und ein standardmäßig leeres Passwort. Dieses Szenario auf einem FTP-Server, der Domänenmitglied ist, reißt ein weiteres Sicherheitsloch auf: Stellt jemand beim Einloggen auf diesem Server einem vorhandenen Account statt des Domänennamens eine bestimmte Zeichenfolge voran, sucht der FTP-Dienst in allen angeschlossenen Domänen nach diesem Account. Existiert dort ein offenes Gast-Konto, findet es ein Hacker unter Ausnutzung dieser Lücke garantiert.
Datum | 20.06.2001 |
|---|---|
| |
Betrifft | Windows 2000 P, S, AS |
Wirkung | Offene Gast-Accounts lassen sich leicht ausfindig machen |
Patch | |
Abhilfe | Patch oder Service Pack 3 installieren |
Informationen |
Telnet-Dienst - DoS-Attacken
Microsoft stellt einen Patch für den Telnet-Dienst in Windows 2000 bereit, der nicht weniger als sieben Sicherheitslücken schließt. Die Lücken lassen sich einteilen in DoS-Attacken, Erschleichen von Privilegien sowie Aufspüren schlecht administrierter (Gast-)Konten.
Den Telnet-Dienst von Windows 2000 kann ein Hacker auf unterschiedliche Weise für DoS-Attacken missbrauchen. Zum einen ist es möglich, Sitzungen zu starten, die es Telnet unmöglich macht, sie nach Ablauf des Time-Out wieder zu schließen. Bei ausreichender Zahl verstopfen diese offenen Sessions dann den Zugang für andere Benutzer.
Zum anderen lässt sich auch durch wiederholtes Öffnen und Schließen von Sitzungen der Dienst lahm legen. Das Beenden der Sitzungen muss dabei auf eine Weise erfolgen, die Telnet dazu bringt, für die Sitzung verwendete Systemressourcen nicht mehr freizugeben.
Die dritte DoS-Attacke wird über ein Kommando bei der Anmeldung möglich. Telnet stürzt dann ab, und Administratoren müssen den Dienst neu starten, um einen Normalbetrieb zu ermöglichen.
Zu guter Letzt können Angreifer eine Systemfunktion aufrufen und auf diese Weise andere Telnet-Sitzungen schließen. Administratorrechte werden dazu nicht benötigt, normale Zugangsprivilegien reichen vollkommen aus.
Datum | 07.06.2001 |
|---|---|
| |
Betrifft | Windows 2000 P, S, AS |
Wirkung | DoS-Attacken, Ausführen beliebigen Codes sowie Ausspionieren von Benutzernamen |
Patch | |
Abhilfe | Patch oder Service Pack 3 installieren |
Informationen |
Telnet-Dienst - Privilegienerhöhung und Gastzugang
Für das Erschleichen von Privilegien muss der Angreifer die Rechte besitzen, Programme über Telnet auf den Server zu laden und auszuführen, was eher unwahrscheinlich ist. Gelingt es dem Angreifer aber trotzdem, diese Rechte zu erlangen, kann er die Sicherheitslücke nutzen, um den Server mit allen Rechten zu übernehmen: Telnet vergibt für jede Sitzung eine so genannte Named Pipe. Darin enthaltener Code wird beim Initialisieren der Sitzung ausgeführt. Die mittels Algorithmus vergebenen Namen der Sitzungen lassen sich allerdings leicht vorhersagen. Ein Angreifer kann also eine Named Pipe benennen, die gemäß diesem Namensmuster in nächster Zeit an der Reihe ist, und darin Code seiner Wahl unterbringen. Findet Telnet nach der Namensvergabe eine bereits vorhandene Pipe mit dem Namen, führt der Dienst diese aus.
Das Durchforsten einer oder mehrerer Domänen nach einem bekannten Benutzerkonto gestaltet sich über Telnet ebenso einfach wie über die Lücke in Microsofts FTP-Server. Stellt jemand bei der Telnet-Anmeldung einem vorhandenen Account statt des Domänennamens eine bestimmte Zeichenfolge voran, sucht Telnet in allen angeschlossenen Domänen danach. Besonderer Beliebtheit erfreut sich hierbei der Gastzugang: Er ist hinreichend bekannt und überdies standardmäßig mit leerem Passwort versehen.
Datum | 07.06.2001 |
|---|---|
| |
Betrifft | Windows 2000 P, S, AS |
Wirkung | DoS-Attacken, Ausführen beliebigen Codes sowie Ausspionieren von Benutzernamen |
Patch | |
Abhilfe | Patch oder Service Pack 3 installieren |
Informationen |
Ungeprüfter Puffer in Webserver-ISAPI
Über einen ungeprüften Puffer in den ISAPI-Erweiterungen von Microsofts Webserver IIS kann ein Angreifer auf der Zielmaschine beliebigen Code ausführen.
Die Sicherheitslücke tut sich bereits bei der Standardinstallation des IIS auf. Dabei werden mit den ISAPI-Erweiterungen zusätzliche Funktionen ermöglicht. Unter den dafür zuständigen Bibliotheken befindet sich auch die idq.dll, die unter anderem Scripts zur Server-Administration unterstützt. Die Bibliothek ermöglicht zwar auch Suchanfragen des Windows-2000-Indexdienstes (unter NT 4.0: Indexserver aus dem Option Pack), die Lücke öffnet sich jedoch erst durch den IIS.
Dass in der Datei ein ungeprüfter Puffer steckt, hat Microsoft erst relativ spät entdeckt. Daher kommen selbst die Beta-Versionen von Windows XP mit dem Sicherheitsloch.
Mittels Pufferüberlauf ist es einem Angreifer möglich, direkt auf Systemebene mit allen lokalen Rechten zu agieren. Er kann damit etwa Webseiten ändern, Software auf den Server laden oder Letzteren umkonfigurieren.
Datum | 18.06.2001 |
|---|---|
| |
Betrifft | Index-Server 2.0 (NT 4.0 Option Pack) und Indexdienst in Windows 2000 |
Wirkung | Ausführen beliebigen Codes |
Patch | |
Abhilfe | Patch oder Service Pack 3 installieren |
Informationen |
Missbrauch des ResetBrowser-Frame
Microsofts Browser-Dienst dient dazu, Netzwerkressourcen zu finden. Durchsucht der Anwender etwa das LAN mit Hilfe des Icons Netzwerkumgebung, unterstützt ihn dabei der Browser-Dienst. Zur Lastverteilung setzt man dabei Master Browser und Backup Browser ein. Master Browser enthalten eine Liste der LAN-Ressourcen und replizieren diese auf die Backup Browser. Die Kommunikation untereinander erfolgt über so genannte Frames.
Über den ResetBrowser-Frame etwa lässt sich der Browser-Dienst beenden. Dies ist beispielsweise hilfreich, wenn eine zu große Browser-Anzahl für eine zu hohe Netzlast durch die entstehende Replikation sorgt.
Da das Protokoll für den Browser-Dienst keine Authentisierung vorsieht, könnte ein Angreifer entsprechende Frames gezielt gegen Rechner einsetzen, um den Anwendern den Zugriff auf Dienste und Computer in einem Netzwerk zu verweigern. Im Extremfall ist auch denkbar, dass auf diesem Weg gefälschte Informationen zur Verfügung gestellt werden.
Datum | 25.05.2000 |
|---|---|
| |
Betrifft | Browser-Dienst auf Windows 2000 P, S, AS |
Wirkung | ResetBrowser-Frames können für eine Denial-of-Service-Attacke missbraucht werden. |
Patch | |
Abhilfe | Patch oder Service Pack 3 installieren |
Informationen |
Speicherloch führt zu DoS-Attacken
Über ein Speicherloch bei Windows-2000-Servern ist es möglich, eine DoS-Attacke zu starten. Dazu bombardiert ein Angreifer einen auf Domänen-Controllern laufenden Dienst mit Kerberos-Zertifizierungsanfragen, ohne den entsprechenden Socket auszulesen. Da Windows 2000 den Speicher nicht wieder freigibt, läuft dieser irgendwann über.
Nach etwa 4000 Connect-/Disconnect-Runden, so Peter Gründl von Defcom, akzeptiere Kerberos keine Anfragen mehr. Manuell kann man das Speicherproblem nur jeweils durch einen Neustart beheben.
Datum | 08.05.2001 |
|---|---|
| |
Betrifft | Windows 2000 S, AS |
Wirkung | DoS-Attacke durch exzessive Zertifizierungsanfragen |
Patch | |
Abhilfe | Patch oder Service Pack 3 installieren |
Informationen |
Snap-in für Ereignisanzeige mit ungeprüftem Puffer
Das Snap-in, das die Windows-2000-Ereignisanzeige um zusätzliche Funktionen erweitert, besitzt einen ungeprüften Speicherbereich. Gelingt es, einen manipulierten Eintrag in der Ereignisanzeige unterzubringen, kommt es zu einem Pufferüberlauf.
Dies bewirkt - je nach Art der Manipulation - einen Absturz der Ereignisanzeige oder die Ausführung beliebigen Codes, den ein Angreifer in den ungeschützten Puffer schreibt. Das auf diese Weise eingeschmuggelte Programm würde mit den Berechtigungen desjenigen ausgeführt, der sich den veränderten Eintrag anschaut. Ist das etwa der Administrator, kann es brisant werden.
Abhilfe schafft nur die Installation des Patches.
Datum | 26.02.2001 |
|---|---|
| |
Betrifft | Windows 2000 P, S, AS |
Wirkung | Programmabsturz; Ausführen beliebigen Codes |
Patch | |
Abhilfe | Patch oder Service Pack 3 installieren |
Informationen |
Network DDE Agent
Network DDE ermöglicht es Applikationen, die auf verschiedenen Rechnern laufen, Daten dynamisch auszutauschen. Das geschieht über Kommunikationskanäle (Trusted Shares), die der Dienst "Network DDE Agent" steuert. Lokale Prozesse richten ihre Anfragen an diesen Dienst, der die Anfragen als Systemkonto verarbeitet.
Ein Angreifer, der manipulierte Anfragen starten kann, hätte dadurch die Möglichkeit, den Network DDE Agent für seine Zwecke zu benutzen. Er könnte beliebigen Code im Sicherheitskontext des Betriebssystems statt des angemeldeten Users ausführen.
Datum | 05.02.2001 |
|---|---|
| |
Betrifft | Windows 2000 P, S, AS |
Wirkung | Beliebiger Code kann im Sicherheitskontext des Betriebssystems ausgeführt werden |
Patch | |
Abhilfe | Patch oder Service Pack 3 installieren |
Informationen |
Snap-in für Active-Directory-User stürzt ab
Mit Windows 2000 hat Microsoft die Active Directory Services (ADS) eingeführt. Mit diesem Verzeichnisdienst lassen sich alle relevanten Netzwerkressourcen, etwa Anwender, Drucker und Server, zentral verwalten.
Den Umgang mit dem Verzeichnisdienst erleichtern Tools, die in der Regel als Snap-In-Module für die Microsoft-Management-Konsole ausgelegt sind. Das Modul zur Verwaltung von Anwendern und Computern weist allerdings einen Bug auf: Markiert man eine "größere Zahl" von Usern, um ihnen über einen rechten Mausklick eine Mail zu schicken, reagiert die Management Console mit einer Zugriffsverletzung.
Datum | 02.01.2002 |
|---|---|
| |
Betrifft | Windows 2000 P, S, AS |
Wirkung | Eingeschränkte User-Verwaltung über Snap-in für Verzeichnisdienst |
Patch | Service Pack 3 |
Abhilfe | Service Pack 3 installieren |
Informationen |
Terminal Sessions werden gekappt
Clients, die über eine verschlüsselte Session die Terminal-Dienste eines Windows-2000-Servers nutzen, verlieren immer wieder die Verbindung zum Host. In dessen Systemprotokoll findet sich unter der Ereignis-ID 50 der Hinweis, dass ein Fehler im Protokoll-Stream aufgetreten ist.
Dieser Bug macht sich bemerkbar, wenn im Netzwerk viele fragmentierte IP-Frames auftreten. In dem Fall kann der Server die verschlüsselten Frames der Clients nicht mehr richtig entschlüsseln.
Datum | 02.01.2002 |
|---|---|
| |
Betrifft | Windows 2000 S, AS |
Wirkung | Clients verlieren Server-Verbindung |
Patch | Service Pack 3 |
Abhilfe | Service Pack 3 installieren |
Informationen |
Speicherleck durch ungültige Checksummen
Auf Windows-2000-Rechnern mit aktivierten Terminaldiensten kann es zu einem Speicherleck beim nicht ausgelagerten Kernel-Speicher kommen. Dies führt zu empfindlichen Einschränkungen des Netzwerkverkehrs, da auf Client-Anfragen keine Antwort mehr erfolgt oder nur noch stark verzögert.
Verantwortlich dafür zeigt sich ein Bug im Treiber tdtcp.sys. Der Treiber kann mit IP-Paketen, die ungültige TCP-Checksummen aufweisen, nicht richtig umgehen.
Mittlerweile hat Microsoft einen Patch bereitgestellt.
Datum | 20.06.2001 |
|---|---|
| |
Betrifft | Windows 2000 S, AS |
Wirkung | Störungen des Netzwerkverkehrs |
Patch | |
Abhilfe | Patch oder Service Pack 3 installieren |
Informationen |
Exzessive CPU-Last durch ungültige Anfragen
Ein Bug in einem auf allen Domänen -Controllern aktiven Dienst unter Windows 2000 kann zu einer DoS-Attacke führen. Dieser Dienst verwirft ungültige Serviceanfragen eines bestimmten Typs nicht unmittelbar, sondern beginnt mit einer ressourcenintensiven Verarbeitung und sendet erst danach eine Antwort.
Eine Überflutung mit solchen Anfragen treibt die CPU-Belastung des Domänen-Controllers derart hoch, dass User sich nicht mehr anmelden können. Für bereits eingeloggte Anwender verlangsamt sich der Zugriff auf Netzwerkressourcen spürbar. Hat der Administrator aufgepasst, blockiert eine Firewall den Zugriff von außen auf die dabei benutzten Ports - Sabotageakte von innen lassen sich damit aber nicht abfangen.
Datum | 20.02.2001 |
|---|---|
| |
Betrifft | Windows 2000 S, AS |
Wirkung | Denial-of-Service-Attacke gegen Domänen-Controller |
Patch | |
Abhilfe | Patch oder Service Pack 3 installieren |
Informationen |
Zyklischer Neustart von Domänen-Controllern
Auf einem oder mehreren Domänen-Controllern in einer Windows-2000-Domäne erscheint die Fehlermeldung, dass der Systemprozess LSASS.EXE mit dem Statuscode -1073741571 beendet wurde und der Rechner nun neu startet. Dieses Verhalten wiederholt sich zirka alle 15 Minuten.
Verantwortlich für das abrupte Beenden von LSASS.EXE ist ein Stack-Überlauf in der Konsistenzprüfung, die die Datenreplikation im Netzwerk dynamisch anpasst. Ab einer bestimmten Anzahl von Active-Directory-Replikationsobjekten tritt der Fehler auf.
Datum | 21.04.2001 |
|---|---|
| |
Betrifft | Windows 2000 S, AS |
Wirkung | Zyklischer Neustart von Domänen-Controllern |
Patch | Service Pack 3 |
Abhilfe | Service Pack 3 installieren |
Informationen |
Eigenschaften-Menü lässt sich nicht ausblenden
In größeren IT-Umgebungen, speziell im Firmenumfeld, achten Administratoren auf eine annähernd einheitliche Installation. Damit das auch so bleibt, lassen sich Richtlinien (Policies) definieren, die den Anwendern eine bestimmte Arbeitsumgebung vorgeben. In den Policies ist etwa geregelt, welche Desktop-Komponenten oder Menüpunkte ausgeblendet werden.
Wer allerdings das Eigenschaften-Menü der Icons "Arbeitsplatz" oder "Eigene Dateien" sperren möchte, wird dazu keine Möglichkeit entdecken. Das gelingt erst, wenn man einen entsprechenden Patch installiert, den es aber nur auf Anfrage bei Microsoft gibt. Außerdem muss man nach der Installation die Registry editieren.
Dazu trägt man unter HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer Folgendes ein:
Wertename: NoPropertiesMyComputer
Typ: DWORD
Basis: Dezimal
Wert: 1
Wertename: NoPropertiesMyDocuments
Typ: DWORD
Basis: Dezimal
Wert: 1
Um die Umgebung nicht nur für den aktuell angemeldeten, sondern für alle Benutzer zu ändern, wählt man statt HKEY_CURRENT_USER den Zweig unter HKEY_LOCAL_MACHINE.
Datum | 06.01.2002 |
|---|---|
| |
Betrifft | Windows 2000 P, S, AS |
Wirkung | Benutzer können die Eigenschaften von "Arbeitsplatz" und "Eigene Dateien" aufrufen |
Patch | Service Pack 3 |
Abhilfe | Service Pack 3 installieren und Registry anpassen |
Informationen |
Nach Service Pack 2 keine Server-Dienste
Administratoren, die auf ihren Windows-2000-Servern Service Pack 2 (SP2) installieren, sperren damit einige User aus. Typischerweise trifft es diejenigen, die sich mit einem Client unter Win 9x/Me über ein VPN einwählen: In dieser Konstellation lassen sich Datei- und Druckdienste des Servers oder Exchange nicht mehr nutzen. Das Phänomen taucht ebenfalls bei Clients auf, die unter NT 4.0 oder Windows 2000 laufen, wenn andere als Microsoft-VPN-Server eingesetzt werden oder Router mit NAT.
Die Kommunikationsprobleme zwischen Client und Server entstehen, weil beide sich nicht auf eine gemeinsame Größe der Netzwerkpakete einigen können. Server mit SP2 ignorieren ICMP-Nachrichten, die sie dazu auffordern, eine kleinere MTU zu verwenden.
Datum | 02.01.2002 |
|---|---|
| |
Betrifft | Windows 2000 P, S, AS |
Wirkung | Clients können Server-Dienste nicht mehr nutzen |
Patch | Service Pack 3 |
Abhilfe | Service Pack 3 installieren |
Informationen |