Geschrieben von Cerberus am 27.09.2004 um 14:11:
Windows XP SP2: Sicherheitsbug Datei-und DruckerfreigabeDie im neuen Servicepack 2 für Windows XP integrierte Firewall verfügt über einen nicht unerheblichen Bug, der zahlreiche Rechner und deren Daten gefährdet.
Im Gegensatz zur Firewall des Servicepacks 1 öffnet die neue Firewall aus dem Servicepack 2 ungebetenen Gästen aus dem Internet über die Datei-und Druckerfreigabe alle Pforten. Es genügt schon, wenn in einem LAN Daten freigegeben werden und die Verbindung ins Internet hergestellt wurde, ab diesem Zeitpunkt sind die Daten einsehbar und das ohne große Probleme. Tests haben ergeben, daß manche User ihre Freigaben nicht einmal per Passwort sichern, so daß die Eindringlinge praktisch auch noch eingeladen werden, sich auf fremden Festplatten zu tummeln.
Die bisherige Firewall im Service Pack 1 hat jede Verbindung, egal ob Internet oder LAN, separat definiert und somit wenigstens die Dateifreigabe für das Internet blockiert. Die Firewall des Service Pack 2 unterscheidet aber nicht mehr zwischen verschiedenen Netzwerkadaptern und stellt die Datei- und Druckerfreigabe demzufolge auch im Internet zur Verfügung, was nicht im Sinne der allseits angestrebten Sicherheit sein kann.
Betroffen von diesem Sicherheitsbug sind in erster Linie Modem und IDSN User, aber auch DSL Kunden bleiben nicht ungeschoren, denn wenn keine Absicherung über eine integrierte Firewall im Router oder DSL-Modem vorhanden ist, dann kann auch hier der Zugiff über die Datei-und Druckerfreigabe erfolgen, sofern die Absicherung über die windowsinterne Firewall läuft.
Die Kollegen von der PC-Welt haben diesen sehr ernst zu nehmenden Bug entdeckt und auch entsprechend beschrieben:
Unabhängig von der Lösung unserer Kollegen empfehlen wir eine andere Vorgehensweise, die sich auf unsere durchweg positiven Erfahrungen mit den aktuellen Sygate Firewalls beziehen. Solange Microsoft keinen adäquaten Patch anbietet (in Vorbereitung), solltet ihr unserer Empfehlung Rechnung tragen:
1. die SP Firewall deaktivieren, dazu unter Systemsteuerung ->Verwaltung ->Dienste ->Windows-Firewall/Gemeinsame Nutzung der Internetverbindung auf deaktiviert stellen.
2. Die Sygate Firewall nach unserer Anleitung installieren und konfigurieren, wobei die lanspezifischen Einstellungen zum Thema Datei-und Druckerfreigabe natürlich auch beschrieben werden:
Die Frage ist leicht beantwortet,
unabhängig von dem Sicherheitsbug bietet die windowsinterne Firewall des Servicepacks 2 nur rudimentären Schutz. Die Windows-Firewall ist keine Applikationsfirewall, da eben nur die Programme geblockt werden, die Serverdienste öffnen möchten. Damit schützt die Firewall nicht vor Programmen, die sich auf dem System einnisten und über gebräuchliche Ports wie beispielsweise Mail, Webbrowser usw. ihre Daten versenden. Wer konkret wissen möchte, welche Applikationen mit dem Internet Kontakt aufnehmen, ist daher weiter auf eine reinrassige Applikationsfirewall angewiesen.
Darüber hinaus werden autorisierte Programme in deren Ausnahmen nicht mit einem Prüfsummenschlüssel versehen und das ist gefährlich. Ein gut programmierter Trojaner könnte so eine vorhandene Applikation einfach mutieren lassen (Adminrechte natürlich vorausgesetzt). Wenn diese Applikation schon "berechtigt" war, läuft die modifizierte Version ohne Rückfrage einfach weiter und hat unsere Sicherheitsschranken erfolgreich ausgehebelt.
Die Zugriffsschutzfunktionen in der Sygate Firewall blockieren außerdem Internet-Attacken wie CodeRed, Blaster und Sasser, die Windows-Firewall ist dazu nicht in der Lage, die Vorteile liegen also auf der Hand.
Abschließend wollen wir nicht unerwähnt lassen, daß die Sygate Firewall keinerlei Kompatibilitätsprobleme mit dem Servicepack 2 aufweist, was man nicht in jedem Fall von allen anderen Produkten auf dem Markt sagen kann.
Wer trotz aller Risiken unbedingt die Windows Firewall nutzen möchte, der sollte wenigstens entsprechende Regeln für die interne Firewall definieren, damit das Risiko minimiert wird. Da es keine vordefinierten Regeln gibt, müssen wir diese Ausnahmeregeln manuell festlegen. Dazu werden für die Datei-und Druckerfreigabe in den erweiterten Einstellungen der Firewall die Ports 137 und 138 für UDP sowie die Ports 139 und 445 für TCP eingetragen. Wenn wir mehrere Netzwerkadapter verwenden, so ist dies für jeden Adapter durchzuführen!
Cerberus