Menü

Microsoft-Software mit einprogrammierten Server-Adressen [Update]

vorlesen Drucken Kommentare lesen 819 Beiträge

Microsoft behandelt die Adressen bestimmter eigener Server besonders. Nach einer Bugtraq-Meldung umgeht etwa der Windows Media Player die etc/hosts-Datei für seine Kontakte zum Update-Server. Anscheinend seit Service Pack 2 für Windows XP sowie Service Pack 1 für Windows Server 2003 enthalten diese Betriebssysteme im so genannten DNSAPI spezielle Funktionen, um eine einfache Umleitung der Zugriffe auf bestimmte Microsoft-Server zu verhindern.

In den meisten Fällen adressiert ein Rechner gewünschte Server im Internet, indem er deren Web-Adressen an einen DNS-Nameserver (zum Domain Naming System) übermittelt, dieser die zugehörige numerische IP-Adresse nachschlägt und dann zurückmeldet. Alternativ zum DNS gibt es auf jedem Rechner eine Datei etc/hosts (unter Windows XP: %systemroot%\system32\drivers\etc\hosts), in die man häufig besuchte Web-Adressen und deren IP-Äquivalente als Text eintragen kann und in welcher der Rechner vor dem Absetzen einer DNS-Abfrage versucht, die passende IP-Nummer lokal nachzuschlagen.

Den beschriebenen Mechanismus nutzt mancher PC-Besitzer, um Anzeigenserver, die populäre Webseiten mit Werbebannern ergänzen, durch einen Verweis auf den Surf-Rechner selbst mit der IP-Adresse 127.0.0.1 auszubooten. Ruft dann eine geladene Webseite einen so verbuchten Reklameserver mit dessen URL auf, adressiert der PC sich selbst und beantwortet die Anfrage an Stelle eines Werbebanners einfach mit "fertig". Der Trick hilft aber auch Gaunern, die – etwa nachdem sie die etc/hosts-Datei mittels eines Software-Trojaners manipuliert haben – Kontaktaufnahmen mit seriösen Web-Diensten auf ihre eigenen, böswillig programmierten Webserver umleiten können.

Microsofts DNSAPI dürfte somit zur Verteidigung gegen Betrüger taugen, indem es ganz sicher stellt, dass ein Aufruf etwa von windowsupdate.com auch wirklich auf der zuständigen Webseite landet und nicht bei einem Nachahmer. Andererseits lässt etwa der Windows Media Player in seinen neuen Versionen dem Benutzer nicht mehr die Wahl, gänzlich auf automatische Updates zu verzichten. Früher ließ sich dieses Zwangsupdate, das womöglich auch unerwünschte Neuerungen zum Digital Rights Management mit sich bringt, blockieren, indem man die Adresse des Update-Servers wie oben beschrieben in etc/hosts umleitet. Just solche Versuche sind aber mit dem DNSAPI nicht mehr auf die Server des Windows-Produzenten anwendbar.

Update:

Untersuchungen von heise Security konnten das beschriebene Verhalten bestätigen: Löst eine Anwendung wie ping.exe einen Namen wie go.microsoft.com via DNSAPI auf, ignoriert Windows Einträge in der etc/hosts. Es werden jedoch nach wie vor DNS-Lookups durchgeführt, der Name ist folglich nicht hart mit einer IP-Adresse verdrahtet. Weitere Adressen, die laut dem Bugtraq-Posting eine solche Sonderbehandlung erfahren, sind:

www.msdn.com
msdn.com
www.msn.com
msn.com
go.microsoft.com
msdn.microsoft.com
office.microsoft.com
microsoftupdate.microsoft.com
wustats.microsoft.com
support.microsoft.com
www.microsoft.com
microsoft.com
update.microsoft.com
download.microsoft.com
microsoftupdate.com
windowsupdate.com
windowsupdate.microsoft.com (hps)