Sicherheitsmängel in Windows Server 2008 entdeckt

Sicherheitsdienstleister Argeniss hat Details zu einer Lücke in der Sicherheitsarchitektur von Windows Server 2008 und Vista veröffentlicht. Am Donnerstag hatte Microsoft in einer Sicherheitswarnung zugeben müssen, dass es über bestimmte Serverprozesse, etwa Internet Information Server (IIS) oder SQL-Server, von außen möglich ist, die volle Kontrolle über das System zu erlangen.

Argeniss konnte demonstrieren, dass Dienste, die standardmäßig unter den Benutzern „LocalService“ oder „NetworkService“ laufen, über den Umweg des Distributed Transaction Coordinator (DTC) und des Remote Procedure Call Subsytem (RPCSS) DLLs aufrufen können, die im Sicherheitskontext des Benutzers „LocalSystem“ ausgeführt werden und somit uneingeschränkte Rechte besitzen.

Betroffen sind alle Dienste, die erlauben, dass Benutzer eigenen Code ausführen. Relevant ist dies vor allem bei Hostern, die Windows-Hosting üblicherweise so anbieten, dass Kunden eigene ASP.NET-Anwendungen verwenden können.

Durch einen einfachen Patch kann die Lücke nicht beseitigt werden, da es sich um ein generelles Problem der Architektur handelt. Benutzerrechte für Dienste sind in Windows Server 2008 zwar eingeschränkt, jedoch konnte Argeniss über Thread-Pooling an die Security-Token des RPCSS-Prozess kommen, die mit vollen Rechten ausgestattet sind.

Allen Serverbetreibern, die Benutzern erlauben, eigenen Code auszuführen, empfiehlt Argeniss, die Dienste unter einem Benutzer auszuführen, der keinerlei Administrationsrechte besitzt. So sollten Hoster grundsätzlich keine ASP.NET-Websites unter „LocalSystem“, „LocalService“ oder „NetworkService“ betreiben.