Lücke in Windows Server - MS rät zu Patch

Die Experten von eEye Digital Security haben Microsoft auf eine Lücke in Webservern unter Windows NT 4.0 und 2000 aufmerksam gemacht. Über einen ungeprüften Puffer in den Indexing Services kann ein Angreifer auf dem Server beliebigen Code ausführen. Patches stehen zur Verfügung.

Microsoft empfiehlt allen Administratoren schnellstens die Patches aufzuspielen. Die Sicherheitslücke tut sich bereits bei der Standardinstallation des IIS auf. Dabei werden mit den Internet Services Application Programming Interface-Extensions (ISAPI-Extensions) diverse Bibliotheken installiert, die zusätzliche Funktionen ermöglichen. Darunter befindet sich auch die idq.dll, eine Komponente des Indexing Service (Windows 2000) und des Index Servers (Windows NT).

Die Bibliothek unterstützt Scripts zur Administration des Servers und Suchanfragen der Indexing Services. Dass in der idq.dll ein ungeprüfter Puffer steckt, ist Microsoft gründlich verborgen geblieben. Selbst die Beta-Versionen von Windows XP kommen deshalb mit der Lücke.

Ein Angreifer braucht nur einen IIS mit installierten Extensions zu finden, um den ungeprüften Puffer für seine Zwecke zu missbrauchen. Da der Indexing Service bei Windows 2000 standardmäßig mitgeliefert wird, dürfte das nicht schwer fallen. Windows NT hat den entsprechenden Index Server im sogenannten Option Pack.

Mittels Buffer Overflow ist es möglich, direkt auf Systemebene mit allen lokalen Rechten zu agieren. Der Angreifer könnte damit etwa Webseiten ändern, Software auf den Server laden oder letzteren umkonfigurieren. Fatal daran ist, dass das bloße Vorhandensein der ISAPI-Extensions und der idq.dll bei installiertem IIS ausreichen. Der Server selbst braucht also dem Besucher gar keine Suchfunktion anzubieten. Gleiches gilt für die eigentlich Administratoren vorbehaltene Anfrage nach Internet Data Administration-Scripts (.ida-Scripts). Da der Buffer Overflow abgearbeitet wird, bevor die Administratorenrechte geprüft werden, führt auch das Manipulieren einer solche Anfrage zum Erfolg.

Microsoft bietet Patches für Windows NT 4.0und Windows 2000 (Professional, Server, Advanced Server) an. Der Patch bewirkt eine korrekte Prüfung der Eingaben in den ISAPI-Extensions. Weitere Informationen bietet das Security Bulletin MS 01-033. Die Lücke wurde von eEye Digital Security entdeckt. Im Windows 2000 Bugreport lesen Sie mehr zu Sicherheitsproblemen im Microsoft-Betriebssystem. Fehler in Windows NT sind hier beschrieben. (uba)