Sicherheitsloch in Windows 2000
Die aktuellen Betaversionen von Windows 2000, Microsofts neuestem Betriebssystem, haben ein schweres Sicherheitsloch. Dieses ist rund um die Aufregung über den NSAKey beinahe untergegangen, stellt aber nach Ansicht von Spezialisten ein ernstes Problem dar.
Obwohl die aktuelle Beta 3 von Windows 2000 noch lange nicht die endgültige Version des künftigen Betriebssystems darstellt, haben mittlerweile mehr als 650.000 Tester das System laufen. Das Sicherheitsloch soll in der nächsten Version, dem "Release Candidate 2 Build", ausgeräumt werden. Diese ist für nächste Woche zu erwarten.
Das Loch dreht sich um das "Autologin"-Feature, das seit April in der Beta 3 eingebaut ist. Maschinen, die nicht an einer Domain hängen [betrifft also so gut wie alle Home-User], sind betroffen: Dort hat der Windows-2000-Installer automatisch einen Autologin-Account kreiert, der Administrationsrechte, aber kein Passwort besitzt.
Zwar kommt das "Feature" normalerweise nur bei physischem Zugang zur Maschine zum Tragen, wenn aber der Telnet-Server installiert ist, kann der Rechner auch von außen angegriffen werden.
Der Telnet-Server kann über ein Visual-Basic-Script aktiviert werden, das in einem HTML-Dokument versteckt ist.
Scott Culp, Microsoft-Security-Manager für NT, gibt das Sicherheitsrisiko zu, meint aber, dass das Autologin-Feature in den letzten Versionen abgedreht wurde. Ab welchem Build das Loch ausgeschaltet wurde, konnte er allerdings nicht sagen.
MicrosoftDa es sich bei den Windows-2000-Releases ausdrücklich um Beta-Versionen handelt, muss mit derartigen Fehlern gerechnet werden, so Culp. "Es ist wichtig, sich in Erinnerung zu rufen, dass dies ein Beta-Produkt und somit noch nicht marktreif ist. Derartige Lücken zu finden ist die Aufgabe des Beta-Testprozesses", verteidigt er das Produkt.