Microsoft: Windows-Lücke gefährdet Firmenanwender

04.12.2007
Laut Microsoft weist das Windows-Betriebssystem eine Schwachstelle auf, die es Angreifern ermöglicht, ihre Opfer auf bösartige Websites umzuleiten und so auszuspähen.

Der Fehler liegt in der Art und Weise, wie das Microsoft-Betriebssystem in bestimmten Konfigurationen nach DNS-Informationen (Domain Name System) sucht. Die Lücke hatte Microsoft bereits im Jahr 1999 gepatcht, offenbar ist der Bug in späteren Windows-Versionen jedoch wieder aufgetaucht und kürzlich auf der Hacker-Konferenz Kiwicon '07 in Neuseeland veröffentlicht worden. "Es handelt sich dabei um eine Variante einer bereits veröffentlichten Lücke, die zum Tragen kommt, wenn bestimmte Client-seitige Einstellungen vorgenommen werden", so Mike Reavey, Group Manager bei Microsofts Security Response Center.

Im Prinzip ist jede Windows-Version von dem Bug betroffen. Microsoft erläutert in einem Advisory jedoch, welche Betriebssystemkonfigurationen gefährdet sind und beschreibt mögliche Workarounds, bis der Softwarekonzern einen entsprechenden Security-Patch zur Verfügung stellen kann.

Und so würde eine Attacke über die Lücke funktionieren: Ein mit seinem eigenen DNS-Suffix konfiguriertes Windows-System durchsucht das Netz automatisch nach DNS-Informationen auf einem WPAD-Server (Web Proxy Auto-Discovery). In der Regel würde es sich dabei um ein vertrauenswürdiges, im Netz des Opfers befindliches System handeln. WPAD-Server werden eingesetzt, um den Anteil an manueller Konfigurationsarbeit zu reduzieren, die erforderlich ist, um Windows-Systeme im Netz funktionsfähig zu machen. DNS-Suffixe wiederum dienen dazu, Rechner bestimmten Netzdomänen zuzuordnen und die Administration zu erleichtern.

Um einem PC das Auffinden eines WPAD-Servers zu erleichtern, nutzt Windows eine Technik namens "DNS Devolution". Wenn beispielsweise ein Rechner der Firma XX ein DNS-Suffix von "corp.xx.co.de" erhalten würde, sucht das Microsoft-Betriebssystem automatisch nach einem WPAD-Server unter "wpad.corp.xx.co.de". Misslingt dies, würde es Windows mit "wpad.xx.co.de" oder "wpad.co.de" versuchen – und hier liegt das Problem: Auf der Suche nach DNS-Informationen unter "wpad.co.de" verlässt der Windows-Rechner das Firmennetz und verlegt seine DNS-Suche damit auf ein nicht vertrauenswürdiges System. Von dem Fehler betroffen sind laut Reavey allerdings nur Kunden, deren Domain-Name in einer "Third-Level- oder tieferen" Domäne beginnt, was bedeutet, dass Anwender etwa mit XX.com oder XX.gov nicht gefährdet sind.

Angreifer, die "wpad"-Domänen in Second-Level-Domains (SLDs) wie co.de oder co.nz registriert haben, könnten ihre Opfer über eine "Man-in-the-Middle"-Attacke unbemerkt auf bösartige Web-Seiten umleiten. Dabei geht der Nutzer davon aus, dass er etwa die Site seiner Bank besucht, während er sich in Wirklichkeit auf einer Phishing-Seite befindet. Laut Reavey ist sich Microsoft bislang allerdings noch keines derartigen Angriffs bewusst. Einem Bericht zufolge geht der Entdecker der Schwachstelle jedoch allein in Neuseeland von rund 160.000 diesbezüglich verwundbaren PCs aus. (kf)

.

Zur Startseite