Windows-XP-Passwörter möglicherweise nutzlos

17. Februar 2003, 10:39
1 Posting

Administratorrechte und unbeschränkter Datenzugriff mit Windows-2000-CD

Der Passwortschutz des nach Herstellerangaben "sichersten Microsoft-Betriebssystems überhaupt", Windows XP, ist möglicherweise ziemlich nutzlos. Mit einer normalen Windows-2000-CD-ROM soll jederzeit auf alle in einem Windows-XP-System angelegten Accounts und Daten zugegriffen werden können. Dieses besonders delikate Sicherheitsloch beschreibt Brian Livingston in seinem neuesten Newsletter.

Von einer Windows-2000-CD-ROM die Recovery Console gestartet

Um Administratorrechte auf einem Windows-XP-Computer zu erhalten, muss demnach das System hochgefahren werden, danach wird von einer Windows-2000-CD-ROM die Recovery Console gestartet, welche eigentlich für die Behebung von bei Windows 2000 auftretenden Problemen gedacht ist. Und schon seien volle Administratorrechte im Windows-XP-System gegeben, so Livingston. Ebenso könne in alle anderen angelegten Accounts eingestiegen werden – egal, ob diese normalerweise durch ein Passwort geschützt sind, oder nicht.

"Vor Wochen"

Bei Windows-2000-Systemen ist derartiges nicht möglich, auch bei Benutzung der Recovery Console sind die entsprechenden Passwörter erforderlich. Die Sicherheitslücke ist in Windows XP angeblich unabhängig von der Einrichtung eines automatischen Log-On bei Nutzung der zugehörigen Recovery Console gegeben. Livingston schreibt, er habe "vor Wochen" vier Microsoft-Mitarbeiter informiert, aber bislang keine Antwort erhalten. Auch gäbe es keinen entsprechenden Eintrag in der Knowledge Base. Bei ähnlichen Problemen habe er von Sicherheitsexperten des Softwareriesen Hinweise auf folgende Unternehmensregel erhalten: "Wenn ein Übeltäter uneingeschränkten physischen Zugriff auf Ihren Computer hat, ist es nicht mehr Ihr Computer."

Auf verschiedenen Sites wurde am Wochenende heftig über dieses Sicherheitsloch diskutiert. Teilweise wurde die Beobachtung bestätigt, teilweise wurde sie vom Bestehen bestimmter Voraussetzungen abhängig gemacht. Eine Stellungnahme von Microsoft liegt noch nicht vor. (pte)

Share if you care.