WINS-Lücke in Windows Server bleibt ungepatcht

Die Implementierung des Windows Internet Name Service (WINS) auf Windows Server enthält eine Denial-of-Service-Lücke. Microsoft will diese Sicherheitslücke aus Aufwandgründen aber nicht mehr patchen.


Anzeige

Im WINS Server gibt es unter Microsoft Windows Server 2008, 2012 und 2016 eine Memory Corruption.Sicherheitlücke, die Remote ausgenutzt werden könnte. Vorige Woche haben Sicherheitsforscher von Fortinet im Artikel WINS Server Remote Memory Corruption Vulnerability in Microsoft Windows Server auf diese Sicherheitslücke hingewiesen und auch gezeigt, wie WINS angreifbar ist.

WINS
(Quelle. Fortinet)

Dazu muss WINS unter Windows Server als Rolle installiert und konfiguriert worden sein. Die Lücke wurde von den Forschern bereits im Dezember 2016 an Microsoft berichtet. Im Juni 2017 kam von Microsoft folgende Rückmeldung:

"a fix would require a complete overhaul of the code to be considered comprehensive. The functionality provided by WINS was replaced by DNS and Microsoft has advised customers to migrate away from it."

Mit anderen Worten: Der Code ist so schrottig, dass ein Fix eine komplette Überarbeitung erfordern würde. Da WINS durch DNS ersetzt wurde, wird Microsoft diese Sicherheitslücke nicht patchen. Wer noch WINS einsetzt, sollte nach DNS migrieren. Bei heise.de gibt es diesen Beitrag mit einige Zusatzhinweisen zum Thema.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit, Windows Server abgelegt und mit Sicherheitslücke, Windows Server, WINS verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.