Besitzt Microsoft Hintertüren zu jedem Windows-Rechner?

Wegen der Lücke MS08-067 besteht in vielen Fällen kein Grund zur Panik. Auch ohne den gestern veröffentlichten Patch sind die meisten Windows-Rechner über das Internet nicht angreifbar.

Damit die Lücke ausgenutzt werden kann, muss man Zugang zu den Ports 139 und 445 eines Rechners haben. Die meisten Windows-Rechner, die mit öffentlicher IP-Adresse im Internet stehen, haben diese Ports mit einer Firewall geblockt, da RPC recht häufig der Angriffspunkt für das Ausnutzen einer Sicherheitslücke ist. Hinter einem NAT-Router stehende Rechner sind grundsätzlich nicht mit RPC über das Internet angreifbar, es sei denn, die Ports werden explizit an einen Windows-Rechner weitergeleitet.

Anders sieht es im Intranet aus. Windows-Server stehen meist mit ungeschützten Ports 135, 139 und 445 in Firmennetzen. Andernfalls wäre weder RPC noch File- und Printsharing möglich. Nahezu die gesamte Administration eines Windows-Servers geschieht über RPC. Fast alle Serververwaltungstools von Windows nutzen RPC.

Gelingt es nun mit der jetzt bekannt gewordenen UUID, ohne Authentifizierung beliebigen Code auf fremden Rechnern auszuführen, kann man nahezu alles machen. Inbesondere scheint es möglich, sich am Client eine falsche Identität zu verschaffen.

Schnell handeln, sprich den Patch installieren, sollten alle Serverbetreiber, die RPC durch HTTP tunneln. Diese Möglichkeit bietet Microsoft seit Windows Server 2003 an. Meist wird diese Technik verwendet, um Anwendern vom Internet aus Zugang zu Microsoft Exchange zu verschaffen, ohne dass eine VPN-Verbindung notwendig ist.

Dieser Tunneldienst ist in der Regel stark eingeschränkt, so dass nur erwünschte Dienste im Internet angeboten werden. Da aber nicht bekannt ist, die Lücke auch bei der RPC-Tunnelung greift, sollte man den Patch sofort installieren.