März-Patchday: Microsoft verteilt Placebo statt Patch

Der Patch gegen die DNS-Sicherheitslücke MS09-008, den Microsoft seit gestern im Rahmen des März-Patchdays verteilt, verhält sich in vielen Fällen wie ein Placebo. Das berichtet Tyler Reguly vom IT-Sicherheitsunternehmen nCircle in einem Blogeintrag.

Die Lücke erlaubt Benutzern, einen WPAD-Eintrag in die DNS-Server vorzunehmen, wenn dynamische Updates eingeschaltet sind. Internet Explorer und andere Browser lesen diesen Eintrag aus, um einen möglichen Proxyserver automatisch zu ihrer Konfiguration hinzuzufügen.

Indem Benutzer diese Einträge manipulieren, ist es ihnen möglich, große Teile des Internet-Traffics über eigene Rechner umzuleiten. Das erlaubt nicht nur ein Abhören, sondern auch das Senden von manipulierten Informationen an den Browser eines ahnungslosen Users.

Reguly konnte feststellen, dass der Patch keine Sperre des WPAD-Eintrag in der Registry vornimmt, wenn bereits WPAD-Einträge vorhanden sind. In diesem Fall beendet sich das Patchprogramm ohne jeglichen Effekt. Das könne beispielsweise daher rühren, dass bereits Manipulationen an der DNS-Konfiguration vorgenommen wurden.

Auch wenn sich legitime WPAD-Einträge in der DNS-Konfiguration befinden, etwa um den Internet-Verkehr über eine Security-Appliance des Unternehmens zu leiten, bleibt der Patch wirkungslos. In der Systemsteuerung steht das Update in jedem Fall als installiert - ob es nun etwas gepatcht hat oder nicht.

Administratoren von Windows-Servern mit installiertem DNS-Server sollten auf jeden Fall den Registry-Key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList prüfen. Dieser muss die Einträge wpad und isatap enthalten, ansonsten hat der Patch nur einen Placebo-Effekt.

Der Art und Weise, wie Microsoft die Sicherheitslücke MS09-008 "behebt", muss ohnehin als Holzhammermethode gegen die Symptome bezeichnet werden: Die grundsätzliche Sperre der WPAD-Einträge im DNS kann Nebeneffekte haben. Entscheidet man sich beispielsweise nach der Installation des Patches dafür, eine Security-Appliance einzusetzen, wird man feststellen, dass man DNS nun gar nicht mehr dazu benutzen kann, den Internet-Verkehr umzuleiten.

Erst vor einer Woche rügte Microsoft-EMEA-Sicherheitschef Roger Halbheer erneut die Administratoren von Firmennetzen, dass sie Patches nicht einspielten. Mit dem gestrigen Update beweist Microsoft allerdings erneut, dass die Nebeneffekte von Updates auch Probleme im Betrieb verursachen können.

HIGHLIGHT

Der Microsoft-Chefkundenbeschimpfer schlägt wieder zu

Eigentlich ist Roger Halbheer gar nicht Chefkundenbeschimpfer bei Microsoft. Sein offizieller Titel lautet “Chief Security Advisor, Microsoft EMEA”. Doch geht man nach dem, was man von ihm lesen kann, so scheint Chefkundenbeschimpfer seinen Job besser zu beschreiben. Denn seit dem Conficker-Ausbruch im Januar 2009 macht er eigentlich nichts anderes, als den Kunden zu erklären, sie seien selbst Schuld an der Conficker-Attacke.

» zum Artikel ...