Windows Server 2003: NLA-Lücke bleibt ohne Patch

Betreiber eines Windows Server 2003 bekommen scheinbar bereits die ersten Auswirkungen des auslaufenden Supports zu spüren. Wie es ausschaut, wird die NLA-Sicherheitslücke nicht gepatcht.


Anzeige

Kürzlich bin ich im Administrator.de-Forum auf eine Merkwürdigkeit im Zusammenhang mit Windows Server 2003 und der NLA-Sicherheitslücke gestoßen. Wie es ausschaut, patcht Microsoft in Windows Server 2003, dessen extended Support am 14.7.2015 abläuft, nicht mehr alle bekannten Sicherheitslücken.

NLA steht ja als Kürzel für Network Location Awarness – ein Dienst, über den das Betriebssystem seit Windows Vista prüft, in welchem Netzwerk es unterwegs ist und welche Ressourcen bereit stehen. Wird ein öffentliches Netzwerk festgestellt, konfiguriert das Betriebssystem die Windows Firewall entsprechend um (siehe auch hier). In Windows XP und Windows Server 2003 gibt es laut diesem Blog-Beitrag nur eine Basis-Funktionalität.

Im Microsoft Security Bulletin MS15-005 (Vulnerability in Network Location Awareness Service Could Allow Security Feature Bypass (3022777)) wird eine als "important" eingestufte Sicherheitslücke im NLA-Dienst aufgeführt und durch die Januar 2015-Patches geschlossen. Aber nicht für alle betroffenen Betriebssysteme. Microsoft gibt im Security Bulletin zwar an, dass Windows Server 2003 betroffen ist. Aber in der Liste der gepatchten Betriebssysteme kommt dieses Betriebssystem nicht vor:

This security update is rated Important for all supported editions of Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1, and Windows Server 2012 R2.

In einer Fußnote erfährt man: Windows Server 2003 is affected, but an update is not being issued for it. Merkwürdig, so ganz ohne Erklärung, denn der Satz

The following software versions or editions are affected. Versions or editions that are not listed are either past their support life cycle or are not affected.

trifft aber auch nicht zu. Denn Windows Server 2003 ist bisher noch im Extended Life Support und ist laut Microsoft Security Bulletin MS15-005 von der Important eingestuften Sicherheitslücke betroffen. Im oben verlinkten Administrator.de-Forum gibt es das Fazit: das kann für einen Angriff benutzt werden, wenn auch nicht ohne Weiteres. Man sollte jedoch darauf achten, dass der Default (Firewall an in allen Profilen) eingehalten wird. Oder habe ich was übersehen?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Update, Windows Server abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Windows Server 2003: NLA-Lücke bleibt ohne Patch

  1. Enrico sagt:

    Wenn ich das richtig sehe, endete der Support für den Server 2003 am 13.01.2015.
    Und der Support für den Server 2003 R2 erst am 14.07.2015.

    http://support2.microsoft.com/lifecycle/search/default.aspx?sort=PN&alpha=server+2003&Filter=FilterNO

  2. Sebastian Prohaska sagt:

    Hallo,

    das steckt schon ein System dahinter. (vermute ich zumindest)

    Wir bleiben gespannt.

    Liebe Grüße

  3. Fischer sagt:

    (1) Wieso soll "der Satz" "The following software versions or editions are affected. Versions or editions that are not listed are either past their support life cycle or are not affected" falsch sein? Du schreibst selbst zwei Mal (!), daß Windows Server 2003 laut Security Bulletin betroffen ist. Also: Windows Server 2003 IST betroffen (affected), und Windows Server 2003 WIRD im Bulletin aufgeführt (listed), ganz oben in der Tabelle mit betroffenen Produkten. Daraus folgt: Windows Server 2003 wird noch unterstützt. Kein Widerspruch. Würde Windows Server 2003 nicht mehr unterstützt, tauchte er in der Tabelle überhaupt nicht mehr auf, so wie Windows 2000 oder Windows XP.

    (2) Du schreibst an derselben Stelle: "In einer Fußnote erfährt man: Windows Server 2003 is affected, but an update is not being issued for it. Merkwürdig, so ganz ohne Erklärung". Naja, Microsoft widmet der Frage "Windows Server 2003 is listed as an affected product; why is Microsoft not issuing an update for it?" eine eigene FAQ weiter unten in dem Bulletin, darauf wird in der erwähnten Fußnote auch verwiesen. Ist zwar ein Textbaustein, aber alles andere als "ohne Erklärung".

    (3) Ungewöhnlich ist nur, daß kein Update für Windows Server 2003 bereitgestellt wird, obwohl er noch unterstützt wird. Das kommt sehr selten vor, ist aber nicht das erste Mal. Erst im Mai 2014 hat den Storage Server 2008 dieses Schicksal ereilt, siehe https://technet.microsoft.com/en-us/library/security/ms14-028.aspx. Und im September 2009 traf es (siehe https://technet.microsoft.com/en-us/library/security/ms09-048.aspx) nicht nur Windows 2000, das sich ebenfalls dem Support-Ende näherte, sondern auch Windows XP (x86 und x64), obwohl die zu dem Zeitpunkt noch ganze viereinhalb Jahre Extended Support hatten. Im Fall von XP war allerdings die Begründung eine andere: reduziertes Risiko dank eingebauter Firewall. Bei irgendeinem MS Office (Office XP?) gab es das außerdem nach meiner Erinnerung auch schon mal.

    (4) Sei mir nicht böse, aber ich wundere mich ein bißchen, daß du die Primärquellen (in diesem Fall das Security Bulletin) zwar immer gleich bei Erscheinen fleißig verlinkst, aber offenbar nur oberflächlich anschaust. Sonst würden dir solche Merkwürdigkeiten sofort auffallen und nicht erst, wenn du in einem anderen Blog oder einem Forum, also in Sekundärquellen, darüberstolperst. Daß es kein Update für Server 2003 geben würde, stand von Tag 1 an in dem Security Bulletin und war auf den ersten Blick erkennbar daran, daß in der "Affected Software"-Tabelle keine Download-Links für Server 2003 angegeben waren.

    • Günter Born sagt:

      Womit das "Oder habe ich was übersehen?" ausführlich beantwortet ist …

      Du hast Recht, in der FAQ ist ein Hinweis (unter "See the Update FAQ" nicht direkt verlinkt, aber bei genauem Lesen find- und im Browser ein-/ausblendbar, den ich offensichtlich übersehen habe), wobei "infeasible" als unausführbar aber auch als unzumutbar übersetzt werden kann. Mit den Erklärungen zur Architektur ist das "unzumutbar" für mich nachvollziehbar (ob er in der Sache stimmt, kann ich nicht beurteilen). Am Fakt (als "important" eingestufte Lücke wird nicht geschlossen), der im Artikel angesprochen wurde, ändert das aber nichts. Danke für die Hinweis.

      Kleiner Nachtrag: Am 23.1. hat die Info auch bei heise.de Eingang in einen Artikel gefunden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.