Gratis-Schutz: Firewall gegen Viren, Unholde und Trojaner - 2/9
01.05.2004 by doelf

Windows: Neue (alte) Sicherheitslücken
Microsoft hat aus seinen Fehlern gelernt und bietet eine Informationsseite an, die gleich vier Sicherheitspatches und deren Dokumentation zusammenfast. Während Microsoft drei der Patches als "Kritisch" einstuft, ist die Relevanz des vierten immerhin "Hoch". Sicherheitshalber sollten Windows-Benutzer alle vier Patches aufspielen! Betrachten wir die Sicherheitslücken im Detail:

Microsoft Security Bulletin MS04-011
Dieses kritische Update schließt gleich 14 Sicherheitslücken, die einen ungeschützten Windows-Rechner im Internet feindlichen Angriffen regelrecht Ausliefern. Die Sicherheitslücken lassen sich in drei Arten unterteilen:

1. Denial-Of-Service (DoS) Angriffe:
   Diese Angriffe werden zumeist gegen Server gerichtet, dabei wird durch eine große Zahl unsinniger Anfragen das System ausgelastet und von seiner Arbeit abgehalten: Die Netzwerkverbindungen kommen zum Erliegen! Ein Beispiel wäre der Slammer Wurm, der am 25.01.2003 begann, eine "Buffer Overflow"-Schwäche des Microsoft SQL Servers sowie der Microsoft SQL Server Desktop Engine 2000 auszunutzen - ca. 75.000 Server wurden damals befallen.
   
   
2. Remote-Codeausführung:
   Diese Sicherheitslücken basieren zumeist ebenfalls auf "Buffer Overflow"-Fehlern. Es werden falsche - d.h. zu viele - Daten an die entsprechenden Schnittstellen weitergegeben, hat der Programmierer nicht sauber gearbeitet und die Länge der zu übergebenden Daten nicht auf die maximale Größe des Puffers beschränkt, dann kommt es zu einem Pufferüberlauf. Dabei werden die Datenfelder, die sich an den zu füllenden Puffer anschließen, ebenfalls überschrieben - im Normalfall mit unsinnigen Daten, die einen Fehler in der Software verursachen. Allerdings kann man solche Schwachstellen auch absichtlich ausnutzen und die nachfolgenden Datenfelder mit sinnvollem Code füllen, also Code, der etwas bewirkt. Somit ist es Angreifern möglich, von außen feindlichen Code auf den heimischen PC zu schleusen und diesen dort auszuführen. Abhängig von den Rechten des eingelogten Benutzers erhält der Angreifer mitunter Vollzugriff mit Administratoren-Rechten. Aus diesem Grund ist es sinnvoll, nur bei der Installation von Software das Administratoren-Konto zu benutzen und bei der täglichen Arbeit als Benutzer mit eingeschränkten Rechten angemeldet zu sein!
   
   
3. Erhöhte Berechtigungen:
   Durch diese Schwächen können in ihren Rechten eingeschränkte Benutzer Zugriff auf Funktionen erhalten, die normalerweise nur Administratoren zustehen. Auch wer nur als "einfacher Benutzer" ins Internet geht, kann an einen Angreifer sogar Administrator-Rechte verlieren.

Im schlimmsten Fall kann somit ein Angreifer von außen Code einschleusen, sich Administratorenrechte verschaffen und die komplette Kontrolle über den lokalen Rechner erlangen!

Betrachten wir die einzelnen Schwachpunkte, die dieser Fix behebt:

Denial-Of-Service (DoS):

• LDAP-Sicherheitsanfälligkeit
• SSL-Sicherheitsanfälligkeit

• LSASS-Sicherheitsanfälligkeit
• PCT-Sicherheitsanfälligkeit
• Winlogon-Sicherheitsanfälligkeit
• Metafile-Sicherheitsanfälligkeit
• Sicherheitsanfälligkeit bzgl. Hilfe- und Supportcenter
• H.323-Sicherheitsanfälligkeit
• Sicherheitsanfälligkeit bzgl. Negotiate SSP
• Sicherheitsanfälligkeit bzgl. ASN.1 "Double Free"

• Sicherheitsanfälligkeit bzgl. Hilfsprogramm-Manager
• Sicherheitsanfälligkeit bzgl. Windows-Verwaltung
• Sicherheitsanfälligkeit bzgl. Lokaler Deskriptortabelle
• Sicherheitsanfälligkeit bzgl. Virtual DOS Machine

Weiter: 3. Windows: Neue Sicherheitslücken #2

1. Guter Schutz kostet NICHTS!
2. Windows: Neue Sicherheitslücken #1
3. Windows: Neue Sicherheitslücken #2
4. Was sind Firewall, Viren, Trojaner?
5. Sygate Personal Firewall: Programme überwachen
6. Sygate Personal Firewall: Ports sperren (TCP)
7. Sygate Personal Firewall: Ports sperren (UDP)
8. Sygate Personal Firewall: Passwortschutz
9. Sygate Personal Firewall: Netzwerkzugriffe