Die gefährlichsten Web-Anwendungen sind gekürt

Das SANS Institute hat sich wieder die Mühe gemacht, die brisantesten Web-Anwendungen zu analysieren. Die Botschaft: patchen, patchen, patchen.

Das SANS Institute hat die 20 gefährlichsten Lecks in Windows und Unix unter die Lupe genommen. Diese Liste sollten sich Admins verinnerlichen, sagen die Experten. Neben der Auflistung der möglichen Einfallstore geben sie auch Tipps, wie Unternehmen Angriffe abwehren oder gleich von Anfang an verhindern können. Umfangreiche Links auf Advisories und Patches runden den umfangreichen Text ab, der sich die am meisten verbreiteten und ausgenutzten Lecks vorgenommen hat. Diese beziehen sich, so die Fachleute, auf eine geringe Anzahl von Störungen in den verbreitetsten Betriebssystemen.
In der Windows-Welt – bei Unix sieht es ganz ähnlich aus – haben die Leute von SANS mit Unterstützung einer FBI-Abteilung und von Einzelpersonen in den USA festgestellt, dass eigentlich keines der festgestellten Löcher tatsächlich gefährlich sein müsste, sofern die Unternehmen und Anwender fleißig ihre Patches aufspielen und Updates verwenden würden. Das ist auch der hauptsächliche Rat, den die Experten geben.

Bei Web Server und Services können demzufolge Denial of Service, die Entblößung von geschützten Files oder Daten oder auch das Ausnutzen der Server-Kommandos zu kriminellen Zwecken, vorkommen. Admins, so raten die SANS-Unterstützer, sollten sich genau mit ihrem Server und seinen HTTP-basierten Konfigurationen vertraut machen, um diese Schwachstellen zu umgehen. Auch sollten sie auf Add-ons von Drittherstellern wie ColdFusion verzichten oder diese im Bedarfsfall regelmäßig und besonders genau überwachen, um sich die Kontrolle über den Server zu erhalten.

Betroffen ist hiervon jedes Microsoft Windows-System, das auf dem Server installiert ist und IIS (Internet Information Services) nutzt, die meist als Default einprogrammiert sind. Das erfordert, so SANS, dass der Admin diese Funktionen aktiv abschaltet, sofern sie nicht benötigt werden. Eine wenig beachtete Gefahr sei dabei, dass einige Applikationen beim Aufspielen IIS als Initialzündung benötigen – wer danach vergisst, IIS abzuschalten, ist gefährdet, warnen die Experten. Es helfe nicht, sich vor Web-Server-Attacken sicher zu glauben, nur weil niemand einen solchen aktiv installiert habe. Ein ungepflegter IIS genüge vollauf als Einfallstor. Das Aufspielen von Patches, Scannen nach Fehlern und Lücken, sowie ein Abschalten aller nicht benötigten Internet-Produkte – das ist das Rezept gegen solche Angriffe auf Web-Server-Ebene.

Windows Workstation Service – ein Dienst, der die Anwenderanfragen weiterleitet – ist unter Windows 2000 ohne den Patch MS03-049, unter XP ohne MS0 und generell ohne Service Pack 2 gefährlich. Die Experten empfehlen das Blocken der Ports 139/tcp und 445/tcp im äußeren Netzwerk, sowie ein sorgfältiges Filtering an den Ports, die Zugang zur Web-Welt geben. Beim Windows-Remote-Access-Service gilt als größtes Problem, dass die weit verbreiteten Versionen Windows 95  und Windows NT 4 Workstation vom Hersteller nicht mehr unterstützt werden und somit auch keine Security mehr geleistet wird. Hier empfehlen die SANS-Leute ganz simpel, sich von den veralteten Versionen zu verabschieden.

Der SQL Server von Microsoft habe sich bei den Würmern Snake/Spida, sowie Slammer/Hell/Saphire als Exploit-anfällig erwiesen. Dadurch sei die Löchrigkeit der Default-Ports 1433 und 1434 herausgekommen. Die Fachleute empfehlen hier die gründliche Überprüfung der eigenen Systeme anhand eines Microsoft-Leitfadens und geben weitere Details zu den einzelnen Schritten, um die löchrigen Funktionen zu deaktivieren.

Bei der Authentifizierung unter Windows gibt es nichts Besseres, als die Passwortpolitik einer Revision zu unterziehen – das gilt auch für das entsprechende Unix-System. Die SANS-Liste rät neben einer physischen Zugangskontrolle für alle Systeme und einer festen und kontrollierbaren Regelung für besondere Nutzer dazu, die Endanwender-Passwörter per Regel nach einem bestimmten sicheren Muster zu bestimmen. Das heißt im Konkreten, all denen, die es immer noch nicht wissen, beizubringen, dass die eigene E-Mail-Adresse ein denkbar schlechtes System-Passwort ist und dass das Passwort regelmäßig geändert werden sollte und nicht auf einem Post-It an den Monitorrand gehört.

Bei den Browsern haben die Experten vor allem ein Problem diagnostiziert: Es gibt keinen bekannten und sicheren Browser. Ob Firefox, Mozilla, IE oder Opera – sie alle sind angreifbar, weil verbreitet. “Hacker sind faul, sie beschäftigen sich mit dem, was verbreitet ist und damit größtmöglichen Schaden anrichtet”, heißt es in verschiedenen Versionen in Redmond zu dem Thema – oder auch als Rechtfertigung für die eigenen Produkt-Unzulänglichkeiten. Zum Teil zurecht, sagen die SANS-Experten. So sei der IE der am meisten ausgebeutete Browser. Nebenher ist er am weitesten verbreitet. Die Lücken in anderen Browsern, sagen die Experten, sind mit höchster Sicherheitsstufe bei ActiveX- und Java-Applet-Funktionen einigermaßen zu bremsen.

Für File-Sharing gilt eine strikte Policy. Zwar sei die Verwendung in Geschäftsumgebungen, ähnlich wie bei Instant Messaging, mehr und mehr verbreitet. Aber hierbei sollten die Grenzen klar gesteckt werden und die Anwender schon auf Netzwerkebene am Verbreiten und Nutzen strafbarer (Stichwort Copyright) oder anfälliger (Internet-Peer-to-Peer), womöglich illegaler Software gehindert werden. Eine Management-Aufgabe, die einiges an Sprengstoff in die IT-Abteilungen bringen dürfte.

Auch für die Mail-Systeme unter Windows und Unix gilt: patchen, patchen und nochmals patchen. Die Experten weisen genauso wie Security-Fachleute weltweit, andauernd darauf hin, dass ein Patch eine ernst zu nehmende Handlungsanweisung des Herstellers ist. Die Bösewichte heißen: Spam, Virusinfektion und ‘Web Beaconing’.

Diese letztgenannte Anfälligkeit ist so etwas wie die Vorstufe von Spam. Sie wird von Spammern und Werbefachleuten verwendet, um eine E-Mail-Adresse zu verifizieren. Sollte eine E-Mail geöffnet werden, erhält der Versender über Cookie-artige Tags eine Meldung, dass eine natürliche Person und keine Maschine  am anderen Ende sitzt, die Adresse also stimmt und mit Spam beschickt werden kann. Die Funktionen, die gegen die drei Attacken helfen, sind: die Aktivierung der Anti-Spam-Regeln, ein ordentliches Virus-Schutzsystem und die Deaktivierung der automatischen Öffnungsfunktionen bei MS Outlook.

Nebenbei kommen die IT-Leute aber besonders hier nicht um eine intensive Schulung herum, die die Aufmerksamkeit der Nutzer auf die Gefahren aus dem Web lenkt. Also: keine unbekannten oder verdächtigen Anhänge öffnen, nicht auf Spam reagieren und Infektionen sofort melden. Dieser Rat ist universal und immer gültig – für Windows wie für Unix.