Neue schwere Sicherheitslücke in Windows XP trotz SP2!!! (Dateifreigabe)

King_Rollo

Admiral Special
★ Themenstarter ★
Mitglied seit
11.11.2001
Beiträge
1.682
Renomée
9
Standort
Leipzig
Salem alaikum,

auf http://www.pcwelt.de/news/sicherheit/103013/index1.html war heute folgendes zu lesen:


Windows XP SP2 Datenfreigabe: Neue Sicherheitslücke

"Windows XP Service Pack 2 mit erweiterten Sicherheitstechnologien unterstützt Sie darin, Ihren PC gegen Viren, Würmer und Hacker abzusichern." So wirbt Microsoft auf seiner deutschen Web-Seite für Service Pack 2. Was der Windows-Hersteller verschweigt: Statt Viren, Würmern, und Hackern lädt das angeblich so sichere SP2 für Windows XP ganz normale Surfer zum Spaziergang auf Ihrem Rechner ein.


Sobald Sie auf einem Windows-XP-PC mit einer bestimmten Konfiguration SP2 installieren, sind Ihre Datei- und Druckerfreigaben trotz aktivierter Firewall weltweit sichtbar, ebenso alle anderen Dienste. Der PC muss lediglich für ein internes LAN Freigaben zur Verfügung stellen sowie per Modem oder ISDN eine Verbindung zum Internet herstellen. DSL-Nutzer sind ebenfalls betroffen, ausgenommen diejenigen, die bereits eine Firewall im DSL-Modem integriert haben oder einen DSL-Router verwenden. Außerdem muss die Internetverbindungsfreigabe dieses PCs deaktiviert sein.

Testweise Scans seitens der PC-WELT ergaben, dass diese Konfiguration keineswegs selten oder exotisch ist: Ohne größere Mühe und in nur kurzer Zeit fanden wir private Dokumente auf leicht zugänglichen Rechnern im Internet. Es ist davon auszugehen, dass sich deren Besitzer in der trügerischen Sicherheit wiegen, dass ihre Freigaben nur im internen Heimnetz sichtbar wären, da oft nicht einmal ein Passwort-Schutz zu überwinden war.

Bereits Windows 95 hatte ähnliches Problem

Erfahrene Windows-Benutzer erinnern sich: Das gab es schon einmal, und zwar unter Windows 95. Damals hatte Microsoft vergessen, bei der Einrichtung des DFÜ-Netzwerks die Bindung der Datei- und Druckerfreigabe an den DFÜ-Adapter zu lösen.

Das heißt, dieser Dienst wurde auch über den DFÜ-Adapter und damit weltweit angeboten, sobald Sie sich einwählten. Ein Update des DFÜ-Netzwerks behob seinerzeit diesen Bug. Dass die Datei- und Druckerfreigabe seitdem nicht mehr an dem DFÜ-Adapter gebunden ist, können Sie auf Ihrem eigenen System nachprüfen: Klicken Sie der rechten Maustaste auf "Netzwerkumgebung" und wählen Sie "Eigenschaften". Das wiederholen Sie mit dem Icon Ihrer DFÜ-Verbindung und wählen die Registerkarte "Netzwerk": An der Checkbox "Datei- und Druckerfreigabe" ist kein Häkchen, das heißt, dieser Dienst sollte also über das DFÜ-Netzwerk nicht angeboten werden.

Ab XP SP1 war die deaktivierte Bindung der Datei- und Druckerfreigabe an den DFÜ-Adapter in Wirklichkeit doch aktiv.
Für Windows XP ohne Service Pack stimmte das auch. Seit SP1 ist diese Einstellung jedoch Makulatur und bewirkt gar nichts mehr, das heißt, die Datei- und Druckerfreigabe ist generell an jeden, auch an den DFÜ-Adapter gebunden. Das alleine ist schon ein dicker Bug, könnte man doch potenziell Ihre Freigaben im Internet wieder sehen. Schlimme Auswirkungen hatte das jedoch keine, da jede DFÜ-Verbindung grundsätzlich mit aktivierter Firewall angelegt wurde.


Wenn Sie sie deaktivieren wollten, erschien eine unübersehbare Dialogbox, dass Sie damit Zugriff auf Ihren Computer gewähren würden. Trotz des Bugs in SP1 war die Firewall-Konfiguration auf diese Weise sauber gelöst: Die DFÜ-Verbindung konnten Sie mit Firewall, ihre interne Netzwerkkarte ohne betreiben, denn hier sollten die Zugriffe auf das Windows-Netzwerk ja gestattet sein.

SP1 + SP2 führen zu fatalem Fehler

In SP2 kommt es mit dem aus SP1 übernommenen plus einem neuen Bug in der Firewall-Konfiguration zum fatalen Fehler: Die SP2-Installation übernimmt die Einstellungen für die Firewall: War sie für den DFÜ-Adapter aktiv, ist sie es nun für alle Netzwerk-Adapter.


Gleichzeitig legt sie aber eine Ausnahme für die Datei- und Druckerfreigabe fest, wenn diese für die interne Netzwerkkarte - und jetzt halten Sie sich fest - ebenfalls für alle Adapter. Bei der ersten DFÜ-Anwahl nach der SP2-Installation stehen Ihre Freigaben dann im Internet zur Verfügung. Nun können sich muntere Zeitgenossen daran machen, Passwörter für Administrator und Gast zu raten, und Sie stehen sicherheitstechnisch nicht besser da, als die ersten Windows-95-Benutzer mit Internet-Anschluss, Service Pack 2 sei Dank.

So lösen Sie das Problem

Bei dieser fehlerhaften Voreinstellung sollten Sie es nicht lassen, doch können Sie den vorherigen Zustand nicht wieder herstellen: Die Firewall-Konfiguration wurde geändert, so dass Sie nicht mehr pro Netzwerk-Adapter festgelegen können, ob sie aktiv sein soll und welche Ausnahmen gelten, sondern pro Netzwerkbereich.

Wählen Sie dazu aus der Systemsteuerung "Windows-Firewall", dort die Registerkarte "Ausnahmen". Markieren Sie hier "Datei- und Druckdienste" und klicken Sie den Button "Bearbeiten". Nun sehen Sie vier Ports, die von der Datei- und Druckerfreigabe verwendet werden.

Der Lohn der Mühe: Trotz SP2 ist der PC wieder dicht. Aber wie dicht? Auf Wiedersehen, bis zum nächsten Bug.
Um Sie nach außen zu sperren und nur im internen LAN zuzulassen, müssen Sie jeden einzeln markieren und über den entsprechenden Button seinen Bereich ändern. Unserem Leser Yves Jerschow verdanken wir folgenden Warnhinweis: Hier lauert ein weiterer Bug, und der Wert für den voreingestellten Bereich "Nur für eigenes Netzwerk (Subnetz)" funktioniert nur dann, wenn die Internetverbindungsfreigabe aktiviert ist. Ist das nicht der Fall, sind Ihre Freigaben weltweit sichtbar. Abhilfe schaffen Sie, indem Sie jeweils "Benutzerdefinierte Liste" wählen und hier die IP-Adressen, also die Ihres LANs, eintragen, die wirklich Zugriff haben sollen. Einen ganzen IP-Bereich tragen Sie übrigens als "192.168.x.0/255.255.255.0" ein, wenn die zugehörigen Adressen mit 192.168.x beginnen.
Nach diesen Maßnahmen haben Sie dann wieder die Sicherheit, die vor SP1 vorhanden war. Toll, oder?
 

McAvatar

Admiral Special
Mitglied seit
11.08.2004
Beiträge
1.269
Renomée
8
Standort
Bielefeld, NRW

King_Rollo

Admiral Special
★ Themenstarter ★
Mitglied seit
11.11.2001
Beiträge
1.682
Renomée
9
Standort
Leipzig
Oben Unten