Thema: Gerüchte um neue Lücke in Windows

[SiLæncer]

Auf der neuseeländischen Sicherheitskonferenz Kiwicon hat ein Hacker über eine Sicherheitslücke in Windows berichtet, durch die eine große Anzahl von Windows-PCs Gefahr laufen soll, von Angreifer ausgespäht oder kontrolliert zu werden. Bei der Lücke soll es sich um einen Wiedergänger handeln: die Windows Proxy Autodiscovery (WPAD), mit welcher der Internet Explorer 6/7 einen im Netz vorhandenen Webproxy automatisch findet und in seine Konfiguration einträgt.

Schafft es ein Angreifer einen Internet Explorer mittels eines eigenen WPAD-Server davon zu überzeugen, über seinen manipulierten Proxy zu surfen, so wäre der Angreifer in der Lage, den HTTP-Verkehr mitzulesen. Sogar das Lesen verschlüsselter SSL-Verbindungen wäre über eine Man-in-the-Middle-Attacke möglich, wenn ein Anwender die im Browser angezeigte Fehlermeldung achtlos wegklickt. Allerdings muss der Angreifer dazu in der Regel bereits in ein LAN vorgedrungen sein. Neuseeländischen Medienberichten zufolge behauptet der Entdecker des Problems jedoch, dass der Angriff im vorliegenden Fall auch aus dem Internet funktioniert. Microsoft soll über das Problem informiert sein und bereits mit Hochdruck an einer Lösung arbeiten.

Genauere Informationen sind derzeit nicht erhältlich. Ob es sich wirklich um ein neues Problem handelt oder nur um einen Abklatsch der bereits im März bekannt gewordenen Schwachstelle, ist derzeit unklar. Damals hatte Microsoft kein Update zu dem Problem herausgegeben, sondern nur einen Workaround veröffentlicht. Sofern im DNS und WINS noch keine WPAD-Einträge vorhanden sind oder die Proxy-Einstellungen per DHCP nicht richtig übertragen werden, empfahl Microsoft, statische Einträge anzulegen, damit ein Angreifer keine eigenen Einträge mehr hinzufügen kann. Bereits 1999 hatte Microsoft mit einem WPAD-Problem im Internet Explorer 5 zu kämpfen. Anwender können im Zweifel im Internet Explorer die Option "Automatische Suche der Einstellungen" unter Extras/Internetoption/Verbindungen/LAN-Einstellungen/ deaktivieren.

Quelle : www.heise.de

[SiLæncer]

Microsoft hat die kürzlich auf der Kiwicon veröffentlichte Schwachstelle in der Web Proxy Auto-Discovery (WPAD) in einem offiziellen Fehlerbericht bestätigt. Unter bestimmten Umständen sucht die Funktion außerhalb der definierten Domain nach WPAD-Servern, um eine Proxy-Konfiguration für den Internet Explorer zu laden. Ein Angreifer könnte etwa einen eigenen WPAD-Server im Internet platzieren und Anwendern präparierte Proxy-Einstellungen unterjubeln, um deren Webverbindungen über einen eigenen Proxy umzuleiten und Daten mitzulesen.

Die Ursache des Problems beruht auf der Art, wie Windows Hostnamen auflöst, wenn sie keinen Fully-Qualified Domain Name enthalten. Das Problem tritt insbesondere bei Third Level Domains wie contoso.co.us und dazugehörigen Sub-Domains wie corp.contoso.co.us auf. Das WPAD-Protokoll stellt der Domain das Prefix wapd voran und sucht nach wapd.corp.contoso.co.us. Antwortet kein Server, so versucht es unter wapd.contoso.co.us einen Server zu finden. Scheitert auch dies, ruft es wapd.co.us auf, was außerhalb der definierten Domain liegt.

Microsoft weist darauf hin, dass – entgegen der Aussage des Entdeckers der Schwachstelle, dass Hunderttausende von neuseeländischen PCs von dem Problem betroffen sind – Heimanwender in der Regel kein DNS-Suffix auf ihrem System konfiguriert haben und kein Mitglied einer Domain seien. Da die Suche dann immer lokal ins Leere läuft, seien diese Rechner nicht verwundbar. Zwar gibt es von einigen Providern verbindungsspezifische DNS-Suffixe, allerdings sollen diese Konfigurationen trotzdem nicht verwundbar sein.

Betroffen ist zwar der Internet Explorer 5.01, 6 und 7 unter Windows 2000 (SP4), XP SP2, Server 2003 SP1 und SP2 und Vista. Ob nun aber der Browser oder Windows Schuld ist, schreiben die Redmonder nicht. Und ob es ein Update geben wird, lässt Microsoft ebenfalls offen. Als Workaround schlägt Microsoft vor, die Proxy-Konfigurationen über DHCP zu verteilen oder die Einstellungen manuell fest einzutragen. Zudem sucht der PC keinen WAPD-Server, wenn die Option "Automatische Suche der Einstellungen" unter Extras/Internetoption/Verbindungen/LAN-Einstellungen/ deaktiviert ist.

Bereits 1999 gab es ein ähnliches Problem mit dem Internet Explorer 5.01, der bei der Suche nach einem WAPD-Server außerhalb der gedachten Domain landen konnte. Zuletzt gab es im März 2007 Probleme mit WAPD im Internet Explorer 6.

Quelle : www.heise.de