"Wieso hat Microsoft die Anfälligkeit für SMB-Replay/Reflection-Attacken in Windows erst jetzt gepatcht, obwohl das Problem seit 2001 bekannt ist?" Diese Frage mussten sich die Redmonder seit dem vergangenen Patchday mehrfach gefallen lassen. Bei solchen Angriffen sendet der Betreiber eines manipulierten SMB-Servers die NTLM-Login-Credentials eines zuvor auf seinem Server versuchten Logins an sein Opfer zurück, um so Zugriff auf dessen PC zu erhalten und dort Programme auszuführen.
* Wie Open Source in Business-Intelligence Einzug hält
Wie Sie Berichtskosten für Ihr Unternehmen reduzieren und die Zusammenarbeit von Anwendern unterschiedlicher Qualifikation fördern erfahren Sie in diesem Whitepaper. Lernen Sie außerdem, wie sich dynamische Unternehmens-Reports generieren lassen.
* Wie Unternehmen mit Hilfe von Schwachstellen-Analyse hochverfügbare IT Services konzipieren
Was steckt hinter ISO 20000 und wie profitieren sowohl IT-Provider, als auch Kunden von der Zertifizierung? Dieses Whitepaper zeigt Nutzen, Vorteile, Inhalt und Durchführung der Zertifizierung. Sie erhalten zudem konkrete Empfehlungen.

Christopher Budd vom Security Team hat die Frage nun im Blog des Microsoft Security Response Center (MSRC) beantwortet. Demzufolge hätte ein Patch aus damaliger Sicht äußerst negative Folgen für die Netzwerkanwendungen gehabt. Laut Budd hätten wahrscheinlich mehrere Anwendungen gar nicht mehr funktioniert oder miteinander kommunizieren können wie Outlook 2000 und der Exchange Server 2000. Zwar habe Microsoft besorgten Kunden geraten, das SMB Signing als Workaround zu aktivieren, in der Praxis habe aber auch das zu Problemen geführt.

Seitdem habe Microsoft auf kleiner Flamme, aber dennoch kontinuierlich an dem Problem gearbeitet und nach und nach in neueren Windows-Versionen wie XP SP2 und Vista kleinere Änderungen eingeführt, um das Problem einzudämmen. Über die Jahre hätten die Entwickler genug Erfahrung gesammelt, um die abschließenden Änderungen in einen Patch zu gießen, der nach der Installation nicht zu Ausfällen bei Kunden führt. Der am vergangenen Dienstag veröffentlichte Patch (MS08-068) soll genau dies tun – bislang offenbar mit Erfolg.