Entdeckt und gerade auf einer Fachkonferenz in Dubai auch publik gemacht hat den Fehler der argentinische Sicherheitsforscher Cesar Cerrudo. Microsoft hatte ursprünglich angegeben, es handele sich eher um einen "Design-Fehler" von Windows als ein tatsächliches Sicherheitsleck. In einem neuen Security Advisory erkennt der Konzern die Schwachstelle aber nun offiziell an. Sie werde gegenwärtig geprüft, heißt es; danach werde Microsoft entscheiden, welche Gegenmaßnahmen angemessen seien. Üblicherweise bedeutet dies, dass so bald wie möglich ein Patch verteilt wird (der nächste reguläre Termin dafür wäre der 13. Mai).

Der von Cerrudo entdeckte Fehler steckt in Windows XP Professional mit Service Pack 2 sowie allen Ausführungen von Windows Vista, Server 2003 und Server 2008. Angreifer könnten damit Code mit "LocalSystem"-Rechten zur Ausführung bringen, was laut Andrew Storms von nCircle "nicht mehr weit von einem Administrator-Konto entfernt ist". Microsoft selbst warnt im Zusammenhang mit dem Fehler insbesondere Webhoster mit dem Windows-Webserver "Internet Information Services" (IIS), die das Problem in besonderer Weise betrifft. Und zwar dann, wenn sie Anwender-Code wie ISAPI-Filter und -Erweiterungen oder ASP.NET-Code (nicht klassisches ASP!) in full trust ablaufen lassen.

Neben IIS lässt sich die Schwachstelle zudem über die Datenbank SQL Server und den Service Microsoft Distributed Transaction Coordinator (MSDTC) ausnutzen. In seinem Advisory schlägt Microsoft bereits verschiedene Workarounds für zumindest die IIS-Versionen 6.0 und 7.0 vor. (tc)