Meldung Nr: RUS-CERT-927

[MS/Windows NT/2000] Fehlerhafte Protokollierung bei Hardlinks
(2002-08-20 07:20:35.888483+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2002/08/msg00240.html

Durch Hardlinks kann die Überwachung von Dateizugriffen unter Windows NT/2000 umgangen werden.

Betroffene Systeme

• Microsoft Windows NT 4.0
• Microsoft Windows 2000 (vor SP3)

Nicht betroffene Systeme

• Microsoft Windows 2000 SP3
• Microsoft Windows XP
• Microsoft Windows .Net

Einfallstor
Zugriff auf überwachte Dateien mittels eines Hardlinks.

Auswirkung
Unbemerkte Zugriffe auf überwachte Dateien.

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
Es liegt keine direkte Gefährung vor.
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Windows NT/2000 unterstützt auf NTFS-Dateisystemen sogenannte hard links, d.h. die Möglichkeit, das eine Datei unter unterschiedlichen Namen (und Pfaden) referenziert werden kann. Diese Funktionalität wird vom POSIX-Subsystem benötigt, sie kann aber auch unter Win32 eingesetzt werden (vor Windows 2000 waren jedoch Tricks unter Verwendung der Backup-API nötig).

Beschreibung
Bei Hardlinks werden die Zugriffe auf verlinkte Dateien bei aktivierter Dateiüberwachung nicht korrekt protokolliert, wodurch Zugriffe unbemerkt bleiben können. Anwender können aber weiterhin nur auf Dateien zugreifen, für welche sie Berechtigungen besitzen, lediglich die Protokollierung der Dateizugriffe ist unvollständig.

Microsoft stellt ein Werkzeug ( Hlscan.exe) zur Verfügung, mit dessen Hilfe Hardlinks angezeigt werden können.

Gegenmaßnahmen
Die Schwachstelle wurde bei Windows 2000 durch den Service Pack 3 behoben, ein Patch für Windows NT 4.0 steht derzeit noch aus.

Vulnerability ID

• CAN-2002-0725

Weitere Information zu diesem Thema

• HOWTO: Create Hard Links in Windows NT and Windows 2000 (Microsoft Q234727) - derzeit offenbar nicht verfügbar
• NTFS hard links (mvps.org)

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

---

https://cert.uni-stuttgart.de/ticker/article.php?mid=927