[MS/Windows NT/2000] Fehlerhafte Protokollierung bei Hardlinks
(2002-08-20 07:20:35.888483+00)
Quelle:
http://cert.uni-stuttgart.de/archive/bugtraq/2002/08/msg00240.html
Durch Hardlinks kann die Überwachung von Dateizugriffen unter Windows NT/2000 umgangen werden.
Betroffene Systeme
- Microsoft Windows NT 4.0
- Microsoft Windows 2000 (vor SP3)
Nicht betroffene Systeme
- Microsoft Windows 2000 SP3
- Microsoft Windows XP
- Microsoft Windows .Net
Einfallstor
Zugriff auf überwachte Dateien mittels eines Hardlinks.
Auswirkung
Unbemerkte Zugriffe auf überwachte Dateien.
Typ der Verwundbarkeit
design flaw
Gefahrenpotential
Es liegt keine direkte Gefährung vor.
(Hinweise zur
Einstufung
des Gefahrenpotentials.)
Kontext
Windows NT/2000 unterstützt auf NTFS-Dateisystemen sogenannte
hard links, d.h. die Möglichkeit, das eine Datei unter
unterschiedlichen Namen (und Pfaden) referenziert werden kann.
Diese Funktionalität wird vom POSIX-Subsystem benötigt, sie kann
aber auch unter Win32 eingesetzt werden (vor
Windows 2000
waren jedoch Tricks unter Verwendung der Backup-API nötig).
Beschreibung
Bei Hardlinks
werden die Zugriffe auf verlinkte Dateien bei aktivierter Dateiüberwachung
nicht korrekt protokolliert, wodurch Zugriffe unbemerkt bleiben können.
Anwender können aber weiterhin nur auf Dateien zugreifen, für welche
sie Berechtigungen besitzen, lediglich die Protokollierung
der Dateizugriffe ist unvollständig.
Microsoft stellt ein Werkzeug (
Hlscan.exe
) zur Verfügung, mit dessen Hilfe Hardlinks
angezeigt werden können.
Gegenmaßnahmen
Die Schwachstelle wurde bei Windows 2000 durch den Service Pack 3
behoben, ein Patch für Windows NT 4.0 steht derzeit noch aus.
Vulnerability ID
Weitere Information zu diesem Thema
- HOWTO: Create Hard Links in Windows NT and Windows 2000 (Microsoft Q234727) - derzeit offenbar nicht verfügbar
- NTFS hard links (mvps.org)
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die Universität
Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel
darf ausschließlich in unveränderter Form und nur zusammen mit diesem
Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine
Veröffentlichung unter diesen Bedingungen an anderer Stelle ist
ausdrücklich gestattet.
Copyright © 2019 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=927