Patch-Day: Update von Microsoft mit Placebo-Effekt

Am Dienstag verteilte Microsoft im Rahmen des monatlichen Patch-Days ein Update gegen eine DNS-Sicherheitslücke (MS09-008). Offenbar verhält sich der Patch in einigen Fällen wie ein Placebo. So stellte Tyler Reguly vom IT-Sicherheitsunternehmen nCircle fest, dass der Patch zwar auf allen Systemen erfolgreich installiert werden kann, aber oftmals keinerlei Veränderungen vornimmt.

Hintergrund: Die Lücke, die durch den Patch geschlossen werden soll, erlaubt es Benutzern, einen so genannten WPAD-Eintrag in die DNS-Server vorzunehmen. Browser lesen diesen Eintrag aus, um mögliche Proxyserver automatisch zu ihrer Konfiguration hinzuzufügen.

Ein Angreifer könnte dies ausnutzen, indem er seine eigenen Rechner dort einträgt. Große Teile des Internet-Traffics könnten dann von ihm abgehört werden. Zudem kann er manipulierte Informationen an den Browser des Anwenders senden.

Reguly stellte nun fest, dass der Patch keine Änderungen am System vornimmt, wenn bereits WPAD-Einträge vorhanden sind. Die Installation läuft ohne Fehlermeldung ab, die Sicherheitslücke existiert aber weiterhin. Auch in der Systemsteuerung findet man das Update unter den installierten Komponenten.

Die WPAD-Einträge könnten einerseits von einer böswilligen Manipulation stammen, oder aber bewusst vom Administrator gesetzt worden sein. Dies wird gemacht, um den Internet-Traffic über eine Security-Appliance zu leiten. Um festzustellen, ob der Patch wirklich installiert wurde, sollte man sich in der Registry den folgenden Key anschauen.

Dort müssen die Einträge wpad und isatap enthalten sein.

Microsoft hat inzwischen auf die Kritik von Reguly reagiert. Demnach ist das Verhalten des betroffenen Patches so gewollt, da man nicht feststellen kann, ob es sich um einen legitimen WPAD-Eintrag handelt oder nicht. Reguly ist der Meinung, dass Microsoft bei der Installation zumindest eine Meldung hätte ausgeben können, dass die Sicherheitslücke aus bestimmten Gründen nicht geschlossen werden konnte.