März-Patchday: Microsoft verteilt Placebo statt Patch

Der Patch gegen die DNS-Sicherheitslücke MS09-008, den Microsoft seit gestern im Rahmen des März-Patchdays verteilt, verhält sich in vielen Fällen wie ein Placebo. Das berichtet Tyler Reguly vom IT-Sicherheitsunternehmen nCircle in einem Blogeintrag.

Die Lücke erlaubt Benutzern, einen WPAD-Eintrag in die DNS-Server vorzunehmen, wenn dynamische Updates eingeschaltet sind. Internet Explorer und andere Browser lesen diesen Eintrag aus, um einen möglichen Proxyserver automatisch zu ihrer Konfiguration hinzuzufügen.

Indem Benutzer diese Einträge manipulieren, ist es ihnen möglich, große Teile des Internet-Traffics über eigene Rechner umzuleiten. Das erlaubt nicht nur ein Abhören, sondern auch das Senden von manipulierten Informationen an den Browser eines ahnungslosen Users.

Reguly konnte feststellen, dass der Patch keine Sperre des WPAD-Eintrag in der Registry vornimmt, wenn bereits WPAD-Einträge vorhanden sind. In diesem Fall beendet sich das Patchprogramm ohne jeglichen Effekt. Das könne beispielsweise daher rühren, dass bereits Manipulationen an der DNS-Konfiguration vorgenommen wurden.

Auch wenn sich legitime WPAD-Einträge in der DNS-Konfiguration befinden, etwa um den Internet-Verkehr über eine Security-Appliance des Unternehmens zu leiten, bleibt der Patch wirkungslos. In der Systemsteuerung steht das Update in jedem Fall als installiert – ob es nun etwas gepatcht hat oder nicht.

Administratoren von Windows-Servern mit installiertem DNS-Server sollten auf jeden Fall den Registry-Key HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParametersGlobalQueryBlockList prüfen. Dieser muss die Einträge wpad und isatap enthalten, ansonsten hat der Patch nur einen Placebo-Effekt.

Der Art und Weise, wie Microsoft die Sicherheitslücke MS09-008 „behebt“, muss ohnehin als Holzhammermethode gegen die Symptome bezeichnet werden: Die grundsätzliche Sperre der WPAD-Einträge im DNS kann Nebeneffekte haben. Entscheidet man sich beispielsweise nach der Installation des Patches dafür, eine Security-Appliance einzusetzen, wird man feststellen, dass man DNS nun gar nicht mehr dazu benutzen kann, den Internet-Verkehr umzuleiten.

Erst vor einer Woche rügte Microsoft-EMEA-Sicherheitschef Roger Halbheer erneut die Administratoren von Firmennetzen, dass sie Patches nicht einspielten. Mit dem gestrigen Update beweist Microsoft allerdings erneut, dass die Nebeneffekte von Updates auch Probleme im Betrieb verursachen können.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

1 Tag ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

1 Tag ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

1 Tag ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago