GefΣhrdete NT-Sicherheit

Wir setzen in unserer Firma mehrere Windows-NT-Server ein. Nun habe ich in einer Newsgroup etwas von einem Programm gelesen, mit dem sich ein Anwender einfach Administrationsrechte verschaffen kann. Stimmt das und wie kann man sich davor schⁿtzen?

TatsΣchlich gibt es ein Tool namens SECHOLE.EXE, mit dem sich ein Anwender die Rechte eines Administrators gewΣhrt, und man kann es auch aus dem Internet laden. Es sucht die Speicheradresse der API-Funktion OpenProcess und modifiziert die Funktion so, da▀ eine Anfrage seines Benutzers nach entsprechenden Rechten erfolgreich ist. Die Ursache fⁿr die Lⁿcke liegt in einem auf dem Client gespiegelten Proze▀, den das Tool an eine manipulierte API-Funktion umleitet. Auf diese Weise kann sich der Benutzer des Programms zur Administratorengruppe hinzufⁿgen. Das bedeutet allerdings nicht, da▀ von nun an kein Windows-NT-Server mehr sicher ist. GefΣhrdet sind nur jene NT-Systeme, die einen direkten physischen Zugriff oder den Zugang Unbefugter ⁿber ein lokales Netzwerk oder ⁿber eine direkte Anbindung an das Internet erlauben. Microsoft hat das Problem erkannt und stellt dafⁿr bereits einen Hot-Fix zur Verfⁿgung. Dieser Fix ist erst nach dem Service Packá3 fⁿr NTá4.0 und nach dem Service Packá5 fⁿr NTá3.51 erschienen. Sie finden ihn im World Wide Web unter folgenden Download-Adressen: