Community-of-Darkness

Verunsicherung durch Windows-Lücken -- und Schlagzeilen
[11.02.2004 16:52]


Nach der Veröffentlichung der Sicherheitslöcher[1] in Windows und dieses Mal recht schlagzeilenträchtiger Berichterstattung in den normalen Medien sind weltweit Benutzer über die möglichen Risiken für den eigenen PC verunsichert. Grund für die Hysterie ist unter anderem eine Äußerung des für Sicherheitsfragen zuständigen Microsoft-Manager Stephen Toulouse -- die in der PR von Sicherheitsfirmen und in deren Folge dann in der internationalen[2] und der deutschen[3] Presse mit Aplomb aufgegriffen wurde -- bis hin zur Bild-Zeitung[4]; aber selbst die Süddeutsche Zeitung sprach von einer "Lücke wie ein Scheunentor"[5].

Toulouse erklärte zu dem Sicherheitsleck, es handele sich um ein ausgesprochen tiefes und umfassendes Problem. Marc Maiffret von eEye[6], Entdecker der Sicherheitslücken, setzte sogar noch eins oben drauf und sprach von einer noch nie dagewesenen Bedrohung, da sehr viele Systeme verwundbar seien. Durch die Lücke könne man in Internet-Server und Unternehmensnetze eindringen. Auch Stromkraft- oder Wasserwerke die mit Windows gesteuert würden, seien gefährdet.

Prinzipiell haben beide Recht: Da die betroffene ASN.1-Bibliothek[7] von sehr vielen Anwendungen und Diensten benutzt wird, ist jeder NT-basierende Windows-PC verwundbar (NT, 2000, XP, Server 2003). Insbesondere Funktionen, die Server und PCs eigentlich sicherer machen sollen, verwenden ausgiebig ASN.1. Es ist aber derzeit kein Exploit bekannt, der diese Lücken ausnutzt. eEye hat zwar nach eigenen Angaben ein Proof-of-Concept-Exploit entwickelt, ihn aber noch nicht veröffentlicht. Da einige Fehler aber bereits Mitte vergangenen Jahres gefunden wurden, ist es nicht gänzlich unwahrscheinlich, dass es bereits sogenannte Zero-Day-Exploits gibt, die in geschlossenen Cracker-Zirkeln kursieren. Angeblich hatte eEye den Fehler auch nicht selbst entdeckt, sondern hätte Hinweise darauf erhalten.

Ähnliche Fehler in ASN.1-Bibliotheken für Unix-Derivate hatte das NISCC bereits im September und November gemeldet. Auch dort waren SSL/TLS-[8] und S/MIME-[9]Impementierungen verwundbar. CERT/CC gab daraufhin eine Vulnerability Note[10] mit einer Liste möglicher betroffener Hersteller heraus. Microsofts Status ist dort immer noch unknown.

Zum Aufbau einer SSL-geschützten Verbindung[11] senden Server an den Client ein Zertifikat, das mittels ASN.1 analysiert wird. Ein Angreifer könnte mit einem manipulierten Zertifikat die Sicherheitslücke auf einem Client ausnutzen und beliebigen Code auf das System schreiben und ausführen. Beim normalen Online-Banking-Anwender tritt das Problem nicht auf, da die Bank wohl kaum gefälschte Zertifikate überträgt. Wer also nur vertrauenswürdige Seiten besucht, den tangiert die Lücke nur peripher. Ohnehin sind im Internet Explorer immer noch Sicherheitslücken ungepatcht, mit denen ebenfalls beliebiger Code in das System geschleust werden kann.

Des Weiteren tritt der Fehler auch bei der Überprüfung signierter ActiveX-Controls auf. Ob dazu allein schon die Anzeige des Dialogs, dass man dem Download zustimme, ausreicht, ist derzeit noch unklar. Ähnlich verhält es sich bei der Zertifikatsüberprüfung von S/MIME-Mails. Betroffen ist auch die Windows-Authentifizierung im Netzwerk mit NTLMv2 und Kerberos[12]. Beide Verfahren werden in Unternehmensnetzen zu Anmeldung im Netzwerk eingesetzt. Heimanwender sind nur dann betroffen, wenn sie Laufwerke oder Drucker im Netzwerk freigeben und eine Authentifizierung zum Zugriff erforderlich ist.

Windows-Server sind durch die Lücken stärker bedroht. Der Internet Information Server benutzt SSL und kann beispielsweise bei bidirektionaler Authentifizierung mit manipulierten Benutzerzertifikaten angegriffen werden. Neben Domänen-Controller sind über die Authentifizierungsmechanismen auch andere Member-Server verwundbar -- auch IPSec-Gateways zum Aufbau von Virtual Private Netzworks unter Windows sind für Attacken anfällig.

Auch wenn keineswegs Panik angesagt ist, wie mancher Artikel, der im Netz kursiert, vielleicht nahelegen könnte: Windows-Anwender sollten auf jeden Fall bald die Updates installieren, um nicht das gleiche Schauspiel zu erleben, welches seinerzeit der Wurm Lovsan/W32.Blaster[13] bot. Damals waren einige Wochen nach der Veröffentlichung einer kritischen Lücke in Windows und den Sicherheitsupdates erste Exploits aufgetaucht, aus der dann Lovsan entstand. Was dann folgte[14], ist vielen wohl noch in Erinnerung.

Siehe dazu auch:


Microsoft stopft weitere Sicherheitslücken [15] auf heise Security
Handeln statt Panik[16], Meldung des BSI zu den neu veröffentlichten Sicherheitslücken

(dab[17]/c't)


--------------------------------------------------------------------------------
URL dieses Artikels:
http://www.heise.de/newsticker/meldung/44534
Links in diesem Artikel:
[1] http://www.heise.de/security/news/meldung/44502
[2] http://www.nytimes.com/2004/02/11/technology/11worm.html
[3] http://www.faz.net/s/Rub21DD40806F8345FA…n~Scontent.html
[4] http://www.bild.t-online.de/BTO/computer…_microsoft.html
[5] http://www.sueddeutsche.de/computer/artikel/527/26501/
[6] http://www.eeye.com
[7] http://support.microsoft.com/default.aspx?scid=kb;de;252648
[8] http://www.heise.de/security/news/meldung/40719
[9] http://www.heise.de/security/news/meldung/41796
[10] http://www.kb.cert.org/vuls/id/428230
[11] http://www.heise.de/security/artikel/40073
[12] http://www.heise.de/security/artikel/40744
[13] http://www.heise.de/security/news/meldung/39347
[14] http://www.heise.de/security/news/meldung/39377
[15] http://www.heise.de/security/news/meldung/44502
[16] http://www.heise.de/security/artikel/44527
[17] mailto:dab@ct.heise.de

bevor die Lücken so bekannt gemacht wurden, hat jeder etwas übern durchschnitt liegende Typ jeden PC hacken können. das ist schwieriger geworden, da die Firmen, wie M$, durch die bekanntmachung von Sicherheitslücken unter Druck gesetzt werden.

Sicherheitslücken sind meistens erst in Crackerszenen bekannt, und es werden Exploits veröffentlicht. Erst dann oder durch Insiderinfos werden Sicherheitsfirmen darauf aufmerksam.

Nichts mit Information fördert die Szene. Die Infos kommen ja aus genau dieser.

Und wenn de weniger Patchen willst, dann nehm Linux *g*


Übrigens ganz am anfang des PC-Zeitalters udn des Internets, war es super einfach in Systeme einzudringen, weil die Passwörter richtig lasch waren. Wenn es einen Password-Schutz überhaupt gab. Erst durch zunehmende Angriffe wurde dieses behoben.

*g* wenn de n Loch inner Wand hast machst des dicht. Wenn du net weißt das es ein Loch gibt, und ein Einbrecher latscht rein ists zu spät. Wenn dus weißt, aber es nicht zumauern kannst, hälst du Wache oder nagelst erst einmal ein paar Bretter vor. Es währe Schwachsin wegen einem Loch noch eine Mauer drum herum zu bauen. Dieses hätte dann warscheinlich wieder ein Loch.