Kein Placebo-Patch
Microsoft verteidigt WPAD-Update
Microsofts Sicherheits-Update aus dem Security Bulletin MS09-008 hat einige Verunsicherung ausgelöst, da er unter bestimmten Umständen nicht zu funktionieren scheint. Der Hersteller hat inzwischen dazu Stellung genommen.
Beim Patch Day im März hat Microsoft mit dem Security Bulletin MS09-008 zwei Sicherheits-Updates bereit gestellt, die Schwachstellen in den DNS- und WINS-Serverdiensten behandeln. Wird Web Proxy Auto-Discovery (WPAD) verwendet, kann ein Angreifer einen Web-Proxy registrieren, den er unter seiner Kontrolle hat. Er kann damit den Datenverkehr mit dem Web manipulieren, einen so genannten Man-in-the-Middle-Angriff ausführen.
Bereits einen Tag nach dem Patch Day waren erste Berichte aufgetaucht, nach denen Microsofts Lösung unter bestimmten Umständen nicht funktioniere, die Installation der Updates jedoch trotzdem ohne Fehlermeldung abgeschlossen würde. Dies passiert offenbar dann, wenn bereits ein erfolgreicher Angriff ausgeführt wurde, also schon Proxy-Einträge vorhanden sind.
Maarten Van Horenbeeck vom Microsoft Security Response Center verteidigt dieses Vorgehen im Blog "Security Research & Defense". Es sei Aufgabe eines Sicherheits-Updates Angriffe zu verhindern, nicht jedoch bereits angerichteten Schaden zu reparieren. Diese Aufgabe werde von den bereit gestellten Updates erfüllt. Ob vorhandene Einträge von einem Angreifer stammten oder durch einen Netzwerkadministrator eingefügt wurden, könne das Sicherheits-Update nicht feststellen und lasse die Einträge daher in Ruhe.
Betroffen von den im Security Bulletin MS09-008 beschriebenen Schwachstellen sind die Server-Versionen von Windows. Typischerweise kommt WPAD in Unternehmensnetzwerken zum Einsatz, wo sich Rechner in einer Domäne untereinander eine gewisse Vertrauensstellung einräumen.
