News

MS setzt Windows-Entwicklung aus

Gestern erst hat Bill Gates die neue Strategie "Trustworthy Computing" angekündigt. Heute gab Microsoft konkrete Maßnahmen bekannt. So wird der Konzern im Februar die Entwicklung von Windows auf Eis legen und seine 7000 Programmierer auf die Sicherheitslöcher und Bugs in seinen Produkten ansetzen.

Das sagte der Chef der Windows-Abteilung, Jim Allchin, nach Angaben des Wall Street Journal. Demnach müssen die Microsoft-Entwickler auch ein spezielles Sicherheitstraining absolvieren. Damit scheint Microsoft die neue Strategie konsequent in die Tat umzusetzen. Laut Bill Gates hängt vor allem der Erfolg der webbasierten .NET-Strategie von einem lückenlosen Datenschutz ab.

Wie berichtet, hatte der Microsoft-Gründer in einer E-Mail an alle Mitarbeiter einen neuen Kurs bei der Software-Entwicklung des Konzerns angekündigt. Künftig soll der Fokus nicht mehr auf bessere Funktionen gerichtet sein, sondern auf Sicherheit und Datenschutz. Die Strategie trägt den Namen "Trustworthy Computing".

Der Konzern will mit der Initiative die zahlreichen Sicherheitsprobleme in den Griff bekommen, die in den vergangenen Monaten immer wieder für negative Schlagzeilen sorgten. Mangelnder Schutz vor Viren und anderen Hackerangriffen gilt als die Achillesferse der MS-Produkte. Auch die Attentate vom 11. September haben laut Gates zum Kurswechsel beigetragen.

"Wenn die Kunden unserer Software nicht vertrauen, haben selbst die großartigsten Funktionen keine Wirkung", heißt es in der E-Mail an die Mitarbeiter. "Haben wir die Wahl zwischen einem zusätzlichen Feature und der Lösung eines Sicherheitsproblems, müssen wir uns für die Sicherheit entscheiden", so Gates weiter. Bereits im Februar wird dies der Fall sein.

Die Experten von eEye Digital Security haben Microsoft auf eine Lücke in Webservern unter Windows NT 4.0 und 2000 aufmerksam gemacht. Über einen ungeprüften Puffer in den Indexing Services kann ein Angreifer auf dem Server beliebigen Code ausführen. Patches stehen zur Verfügung.

Microsoft empfiehlt allen Administratoren schnellstens die Patches aufzuspielen. Die Sicherheitslücke tut sich bereits bei der Standardinstallation des IIS auf. Dabei werden mit den Internet Services Application Programming Interface-Extensions (ISAPI-Extensions) diverse Bibliotheken installiert, die zusätzliche Funktionen ermöglichen. Darunter befindet sich auch die idq.dll, eine Komponente des Indexing Service (Windows 2000) und des Index Servers (Windows NT).

Die Bibliothek unterstützt Scripts zur Administration des Servers und Suchanfragen der Indexing Services. Dass in der idq.dll ein ungeprüfter Puffer steckt, ist Microsoft gründlich verborgen geblieben. Selbst die Beta-Versionen von Windows XP kommen deshalb mit der Lücke.

Ein Angreifer braucht nur einen IIS mit installierten Extensions zu finden, um den ungeprüften Puffer für seine Zwecke zu missbrauchen. Da der Indexing Service bei Windows 2000 standardmäßig mitgeliefert wird, dürfte das nicht schwer fallen. Windows NT hat den entsprechenden Index Server im sogenannten Option Pack.

Mittels Buffer Overflow ist es möglich, direkt auf Systemebene mit allen lokalen Rechten zu agieren. Der Angreifer könnte damit etwa Webseiten ändern, Software auf den Server laden oder letzteren umkonfigurieren. Fatal daran ist, dass das bloße Vorhandensein der ISAPI-Extensions und der idq.dll bei installiertem IIS ausreichen. Der Server selbst braucht also dem Besucher gar keine Suchfunktion anzubieten. Gleiches gilt für die eigentlich Administratoren vorbehaltene Anfrage nach Internet Data Administration-Scripts (.ida-Scripts). Da der Buffer Overflow abgearbeitet wird, bevor die Administratorenrechte geprüft werden, führt auch das Manipulieren einer solche Anfrage zum Erfolg.

Microsoft bietet Patches für Windows NT 4.0 und Windows 2000 (Professional, Server, Advanced Server) an. Der Patch bewirkt eine korrekte Prüfung der Eingaben in den ISAPI-Extensions. Weitere Informationen bietet das Security Bulletin MS 01-033. Die Lücke wurde von eEye Digital Security entdeckt.