Microsofts Windows Server 2008 weist Sicherheitsmängel in der Architektur auf, die nicht durch einen einfachen Patch behoben werden können. Wie Zdnet berichtet, kann über bestimmte Serverprozesse wie Internet Information Server (IIS) oder SQL-Server, ein System von außen kontrolliert werden.

Achtung bei ASP.NET-Anwendungen

Sicherheitsdienstleister Argeniss habe die Lücke entdeckt und demonstriert, wie Dienste unter LocalService oder NetworkService über den Distributed Transaction Coordinator (DTC) und Remote Procedure Call Subsytem (RPCSS) DLLs aufrufen können. Diese würden uneingeschränkte Rechte besitzen. Betroffen seien Dienste, über die Benutzer eigenen Code ausführen können. Das sei vor allem bei Hostern relevant, bei denen Kunden eigene ASP.NET-Anwendungen einsetzen können.

Kein Patch

Da es sich um ein generelles Problem in der Systemarchitektur handle, könne die Lücke nicht mit einem Patch behoben werden. Obwohl die Benutzerrechte für Dienste unter Windows Server 2008 eingeschränkt sind, sei Argeniss über Thread-Pooling an die Security-Token des RPCSS-Prozesses gekommen, die alle Rechte besitzen.

Nur Benutzer ohne Rechte

Das Unternehmen empfiehlt Serverbetreibern, die Dienste nur unter einem Benutzer auszuführen, der über keine Administrationsrechte verfügt. Unter LocalSystem, LocalService oder NetworkService sollten demnach keine ASP.NET-Websites betrieben werden. (red)