Der Patch gegen die DNS-Sicherheitslücke MS09-008, den Microsoft seit gestern im Rahmen des März-Patchdays verteilt, verhält sich in vielen Fällen wie ein Placebo. Das berichtet Tyler Reguly vom IT-Sicherheitsunternehmen nCircle in einem Blogeintrag.
Die Lücke erlaubt Benutzern, einen WPAD-Eintrag in die DNS-Server vorzunehmen, wenn dynamische Updates eingeschaltet sind. Internet Explorer und andere Browser lesen diesen Eintrag aus, um einen möglichen Proxyserver automatisch zu ihrer Konfiguration hinzuzufügen.
Indem Benutzer diese Einträge manipulieren, ist es ihnen möglich, große Teile des Internet-Traffics über eigene Rechner umzuleiten. Das erlaubt nicht nur ein Abhören, sondern auch das Senden von manipulierten Informationen an den Browser eines ahnungslosen Users.
Reguly konnte feststellen, dass der Patch keine Sperre des WPAD-Eintrag in der Registry vornimmt, wenn bereits WPAD-Einträge vorhanden sind. In diesem Fall beendet sich das Patchprogramm ohne jeglichen Effekt. Das könne beispielsweise daher rühren, dass bereits Manipulationen an der DNS-Konfiguration vorgenommen wurden.
Auch wenn sich legitime WPAD-Einträge in der DNS-Konfiguration befinden, etwa um den Internet-Verkehr über eine Security-Appliance des Unternehmens zu leiten, bleibt der Patch wirkungslos. In der Systemsteuerung steht das Update in jedem Fall als installiert – ob es nun etwas gepatcht hat oder nicht.
Administratoren von Windows-Servern mit installiertem DNS-Server sollten auf jeden Fall den Registry-Key HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParametersGlobalQueryBlockList prüfen. Dieser muss die Einträge wpad und isatap enthalten, ansonsten hat der Patch nur einen Placebo-Effekt.
Der Art und Weise, wie Microsoft die Sicherheitslücke MS09-008 „behebt“, muss ohnehin als Holzhammermethode gegen die Symptome bezeichnet werden: Die grundsätzliche Sperre der WPAD-Einträge im DNS kann Nebeneffekte haben. Entscheidet man sich beispielsweise nach der Installation des Patches dafür, eine Security-Appliance einzusetzen, wird man feststellen, dass man DNS nun gar nicht mehr dazu benutzen kann, den Internet-Verkehr umzuleiten.
Erst vor einer Woche rügte Microsoft-EMEA-Sicherheitschef Roger Halbheer erneut die Administratoren von Firmennetzen, dass sie Patches nicht einspielten. Mit dem gestrigen Update beweist Microsoft allerdings erneut, dass die Nebeneffekte von Updates auch Probleme im Betrieb verursachen können.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…