Microsoft macht neue Patch-Dose auf

EnterpriseSicherheit

Blaster hin, Bugs her: Das Aufspielen von Patches sollte nicht der alleinige Tagesinhalt für die Administratoren sein. Da hilft auf Dauer nur ein praktikables Patch-Management-System.

Für Administratoren werden die nächsten Tage anstrengend, denn sie müssen gleich mehrere Patches auf vorhandene Microsoft-Produkte aufspielen. Sonst laufen sie nach Angaben des Redmonder Konzerns Gefahr, dass ihr Unternehmen von externen Angreifern überrannt wird.
Dabei wurde zunächst auf ein Sicherheitsloch in Visual Basic for Applications (VBA) hingewiesen, das in Microsofts Security-Bulletin MS03-037 beschrieben wird und für das der Hersteller das Einspielen von Patches empfiehlt. Ein Fehler beim Öffnen von Dokumenten und der anschließenden Überprüfung von Dokumenteigenschaften könne einen Buffer Overflow provozieren, mit dem ein Angreifer beliebigen Code einschleusen und im Kontext des Anwenders ausführen kann.

Dafür muss der Angreifer sein Opfer zum Öffnen eines manipulierten Dokumentes bringen. Das Dokument kann beispielsweise eine Word-, Excel oder PowerPoint-Datei sein. Betroffen von dem Fehler sind die VBA-SDKs 5.0, 6.0, 6.2 und 6.3; sie werden von den Access-, PowerPoint-, Word-, Works-, Visio-Produkten seit Version 97, sowie von der Reihe Business Solutions Great Plains 7.5, Dynamics 6.0 und 7.0, eEnterprise 6.0 und 7.0, und Solomon 4.5 bis 5.5 verwendet.

Ferner hat eine Schwachstelle in Microsoft Access Snapshot Viewer, beschrieben im Bulletin MS03-038 böse Folgen. Der Fehler basiert auf einem Buffer Overflow bei der Überprüfung von Parametern, mit dem ein Angreifer Code auf den Stack schreiben und im Kontext des Anwenders ausführen kann. Allerdings kann ein Angriff nur Web-basiert erfolgen, der Anwender muss dazu eine manipulierte Webseite besuchen. Betroffen sind nach Konzernangaben die Produkte Access 97, 2000, und 2002 . Der Snapshot Viewer wird standardmäßig nicht installiert. Microsoft hält auch hierfür Patches auf seinen Seiten bereit.

Außerdem weisen weitere Security Bulletins, MS03-034 , MS03-035 und MS03-036 auf weitere Fehler hin, im NetBIOS-Protokoll und in Word. Sämtliche Patches sollten umgehend aufgespielt werden.

Doch auch wenn Microsoft seine Kunden tatsächlich immer sofort informiert, bleibt die Arbeit eine Art von althergebrachter ‘Turnschuh-Administration’ und ist mit Laufarbeit für den Admin verbunden. Dem soll zwar schon seit längerem theoretisch ein Patch-Manager, auch aus dem Hause Microsoft, abhelfen, doch selbst die Beta-Version des ultimativen Installers Version 3.0, der die bislang acht notwendigen Installer ablösen und deren Funktionen zusammenführen soll, wird langsam zur Fata Morgana. Sie sollte nach Berichten in US-Medien bereits am 2. September ausgeliefert werden. Microsoft Deutschland hüllt sich auf Nachfrage jedoch in Schweigen und will nicht einmal wissen, dass die Version in der Pipeline ist. Admins Traum lässt offenbar noch auf sich warten und diesmal heißt es tatsächlich schnell sein, denn die Bugs sind gefährlich.

Außerdem wir das Zeitfenster immer kleiner, das zum Aufspielen von Patches bleibt. Wie die letzten Virenattacken zeigten, sind sich die Entscheider darüber im klaren. Sie sahen den Würmer-Regen als Testfall und ziehen übereinstimmend den Schluss, dass die Patches schneller, binnen Stunden statt Wochen auf die Lücken müssen. Oft sogar schneller, als dies von Menschenhand möglich ist. Übereinstimmend kommt daher aus den USA der Ruf nach einem guten, stabilen (und Bug-freien) Patch-Manager, der die notwendigen Aktualisierungen automatisch vollzieht. Kris Zupan, CEO eines Service-Providers, klagt beispielsweise, dass ein Unternehmen, das nicht schon über eine entsprechende Sicherheitsstufe verfügt, in einem solchen Fall verloren ist.

Schließlich fand der Angriff von Blaster am 12. August zu einem Zeitpunkt statt, als die Unternehmen gerade frisch gewarnt die neuen Patches aufspielten. Hilfreich waren hier offenbar die sichtbaren Warnhinweise der Security-Firmen und die blitzschnelle Breitenversorgung mit passenden Patches. Gewöhnlich gehen solche Sicherheits-Stöpsel aber einen anderen Weg: Sie werden wochenlangen und umfangreichen Tests unterzogen, die ihre Tauglichkeit auf die Probe stellen – ein notwendiges und sinnvolles, aber zeitaufwändiges Verfahren. Im Falle eines geballten Virenangriffs eine nahezu tödliche Zeitspanne. Nur schnelles Patchen hilft künftig. Und ein taugliches Patch-Management-System auf Betriebssystem-Ebene. Die Admins warten.