1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Patch-Day: Update von Microsoft mit Placebo-Effekt

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von TheUntouchable, 12. März 2009.

  1. TheUntouchable
    Offline

    TheUntouchable Board Guru

    Registriert:
    17. Dezember 2008
    Beiträge:
    1.476
    Zustimmungen:
    553
    Punkte für Erfolge:
    113
    Ort:
    München
    Am Dienstag verteilte Microsoft im Rahmen des

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    ein Update gegen eine DNS-Sicherheitslücke (

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    ). Offenbar verhält sich der Patch in einigen Fällen wie ein Placebo.

    So stellte

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    vom IT-Sicherheitsunternehmen nCircle fest, dass der Patch zwar auf allen Systemen erfolgreich installiert werden kann, aber oftmals keinerlei Veränderungen vornimmt.

    Hintergrund: Die Lücke, die durch den Patch geschlossen werden soll, erlaubt es Benutzern, einen so genannten WPAD-Eintrag in die DNS-Server vorzunehmen. Browser lesen diesen Eintrag aus, um mögliche Proxyserver automatisch zu ihrer Konfiguration hinzuzufügen.

    Ein Angreifer könnte dies ausnutzen, indem er seine eigenen Rechner dort einträgt. Große Teile des Internet-Traffics könnten dann von ihm abgehört werden. Zudem kann er manipulierte Informationen an den Browser des Anwenders senden.

    Reguly stellte nun fest, dass der Patch keine Änderungen am System vornimmt, wenn bereits WPAD-Einträge vorhanden sind. Die Installation läuft ohne Fehlermeldung ab, die Sicherheitslücke existiert aber weiterhin. Auch in der Systemsteuerung findet man das Update unter den installierten Komponenten.

    Die WPAD-Einträge könnten einerseits von einer böswilligen Manipulation stammen, oder aber bewusst vom Administrator gesetzt worden sein. Dies wird gemacht, um den Internet-Traffic über eine Security-Appliance zu leiten. Um festzustellen, ob der Patch wirklich installiert wurde, sollte man sich in der Registry den folgenden Key anschauen.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
    Dort müssen die Einträge wpad und isatap enthalten sein.

    Microsoft hat inzwischen auf die Kritik von Reguly

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    . Demnach ist das Verhalten des betroffenen Patches so gewollt, da man nicht feststellen kann, ob es sich um einen legitimen WPAD-Eintrag handelt oder nicht. Reguly ist der Meinung, dass Microsoft bei der Installation zumindest eine Meldung hätte ausgeben können, dass die Sicherheitslücke aus bestimmten Gründen nicht geschlossen werden konnte.

    Quelle:

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

     
    #1

Diese Seite empfehlen