An seinem Februar-Patchday hat Microsoft zwei fatale Sicherheitspannen in Windows beseitigt, die mit der Verarbeitung von Gruppenrichtlinien zusammenhängen. Eine wichtige Information hat sich allerdings noch nicht überall herumgesprochen, wie heise Security in Gesprächen mit Admins feststellte: Mit der Installation der Patches ist es nicht getan, Admins müssen händisch Änderungen an den Gruppenrichtlinien vornehmen.

Der Patch KB3000483 behandelt ein Sicherheitsproblem, durch das ein Angreifer auf den Clients beliebigen Code zur Ausführung bringen kann. Es betrifft eine Funktion zum Ausführen einer Batch-Datei (etwa \\beispielfirma\NETLOGON\login.bat) auf Windows-Clients, wenn sich dort ein Benutzer anmeldet. Ein Angreifer in der Position des Man-in-the-Middle kann den Abruf der Batch-Dateien abfangen und andere Skripte an die Clients schicken, die dann auch klaglos ausgeführt werden, weil der Client die Identität seines Gegenüber nicht ausreichend überprüft.

Microsoft löst dieses Problem mit einer neuen Schutzfunktion, dem abgesicherten UNC-Zugriff (UNC Hardened Access). Darüber kann der Admin durch die Eigenschaft RequireMutualAuthentication festlegen, dass der Client die Identität des Servers überprüft, wobei ein Man-in-the-Middle auffliegen würde. Die Eigenschaft RequireIntegrity sorgt dafür, dass Server und Client Prüfsummen einsetzen, um die Integrität der Datenpakete zu überprüfen. Und mit RequirePrivacy kann die Verbindung sogar verschlüsselt werden.

Entdeckt hat das Sicherheitsproblem die US-Firma JAS. Gegenüber Forbes erklärte JAS, dass die Lücke offenbar seit 15 Jahren in Windows klafft, Angriffe durch sie waren bis dahin nicht bekannt.

Sicherheitsloch_gruppenrichtlinien

(Quelle:heise)