Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-927

[MS/Windows NT/2000] Fehlerhafte Protokollierung bei Hardlinks
(2002-08-20 07:20:35.888483+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2002/08/msg00240.html

Durch Hardlinks kann die Überwachung von Dateizugriffen unter Windows NT/2000 umgangen werden.

Betroffene Systeme

  • Microsoft Windows NT 4.0
  • Microsoft Windows 2000 (vor SP3)

Nicht betroffene Systeme

  • Microsoft Windows 2000 SP3
  • Microsoft Windows XP
  • Microsoft Windows .Net

Einfallstor
Zugriff auf überwachte Dateien mittels eines Hardlinks.

Auswirkung
Unbemerkte Zugriffe auf überwachte Dateien.

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
Es liegt keine direkte Gefährung vor.
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Windows NT/2000 unterstützt auf NTFS-Dateisystemen sogenannte hard links, d.h. die Möglichkeit, das eine Datei unter unterschiedlichen Namen (und Pfaden) referenziert werden kann. Diese Funktionalität wird vom POSIX-Subsystem benötigt, sie kann aber auch unter Win32 eingesetzt werden (vor Windows 2000 waren jedoch Tricks unter Verwendung der Backup-API nötig).

Beschreibung
Bei Hardlinks werden die Zugriffe auf verlinkte Dateien bei aktivierter Dateiüberwachung nicht korrekt protokolliert, wodurch Zugriffe unbemerkt bleiben können. Anwender können aber weiterhin nur auf Dateien zugreifen, für welche sie Berechtigungen besitzen, lediglich die Protokollierung der Dateizugriffe ist unvollständig.

Microsoft stellt ein Werkzeug ( Hlscan.exe) zur Verfügung, mit dessen Hilfe Hardlinks angezeigt werden können.

Gegenmaßnahmen
Die Schwachstelle wurde bei Windows 2000 durch den Service Pack 3 behoben, ein Patch für Windows NT 4.0 steht derzeit noch aus.

Vulnerability ID

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.