Microsoft schmeißt ‘ne Runde neue Bugs

Schwerer Image-Schaden für Win Server 2003: Offenbar kann sich das ‘Trustworthy Computing’ in Redmond nicht durchsetzen.

Der Softwarehersteller Microsoft hat in drei Bulletins vor zum Teil gravierenden Sicherheitslücken seiner Betriebssysteme gewarnt. Betroffen sind alle Windows-Versionen mit NT-Kern, also NT 4.0, Terminal Services Edition, Win 2000, Win XP und Win Server 2003.

Das darin verwendete Protokoll ‘Remote Procedure Call’ (RPC) erlaubt es einem Angreifer, über einen TCP/IP-Zugriff auf Port 135 einen Buffer Overflow auszulösen. Damit kann korrupter Code mit den Rechten des Betriebssystems auf der Maschine ausgeführt werden (Bulletin MS03-026).
RPC wird dazu verwendet, Anwendungen auch remote ausführen zu lassen. Der Einsatz einer aktuellen Firewall dürfte vor Angriffen über diese Lücke allerdings in aller Regel schützen, meinen Sicherheits-Dienstleister.

Widersprüchliche Angaben gibt es darüber, wer Microsoft auf die Gefahren hingewiesen hat. Zum einen wird die Analyse einer polnischen Hackergruppe mit dem schmucken Namen “The Last Stage of Delirium” zugeschrieben. Anderen Quellen zufolge soll E-Eye Security sich des Bugs angenommen haben. Auf jeden Fall haben die Entdecker der Lücke diesmal offenbar so lange stillgehalten, bis Microsoft einen entsprechenden Patch bereitstellen konnte. Internet Security Systems (ISS) warnt zur Sicherheit auch noch, dass der Fehler eine “ernst zu nehmende Bedrohung” darstelle und der entsprechende Patch “umgehend zu installieren” sei.

Damit aber nicht genug. In zwei weiteren Bulletins warnt Microsoft, der ‘Internet Security and Acceleration Server 2000’ weise einen Fehler auf, der Scripting-Angriffe erlaube (Bulletin MS03-028). Zum zweiten habe Win XP eine Schwachstelle im Buffer seiner Windows-Shell (Bulletin MS03-027). Auch darüber lässt sich nach Microsoft-Angaben fremder Code auf dem Rechner ausführen.

Die beiden letzteren Fehler stuft Microsoft allerdings nur als “important” ein, während der Buffer Overrun im RPC Interface immerhin als “critical” bewertet wird. Sicherheitsexperten weisen darauf hin, dass Windows Server 2003 das erste größere Release nach Ankündigung der Kampagne für sichere IT, der ‘Trustworthy Computing Initiative’, vor anderthalb Jahren war. Wenn also nun das immer wieder aufgeschobene Server-Betriebssystem nun doch wieder eine solch kritische Schwachstelle aufweist, muss ich Microsoft auf verschärfte Kritik der Anwender wie auch der Konkurrenz gefasst machen.