MS-SQL: Kostenloses Tool schließt Sicherheitslücke
Manche Versionen von Microsofts SQL-Server legen Nutzer-Passwörter ungeschützt im Hauptspeicher ab, wo sie zumindest für Administratoren im Klartext lesbar seien, warnte der Sicherheits-Anbieter Sentrigo Ende voriger Woche.
Gegen böswillige Admins könne ohnehin nichts mit Software getan werden, reagierte MS. Während Microsoft den Administratoren vertraut, findet Sentrigo, dass zum Beispiel die in der Finanzkrise gekündigten Admins gefährlich werden könnten – das kostenlose Tool »Passwordizer«, das allerdings eine vorherige Registrierung erwartet, löscht die bei der Anmeldung benutzen User-Credentials. Neugierige mit Admin-Rechten können sie dann nicht mehr sehen.
Microsoft meint, externe Angreifer müssten eben gehindert werden, sich Admin-Rechte zu ergaunern. Außerdem nutze der SQL-Server seit Version 2008 statt SQL-Authentifizierung den »Windows Authentication Mode«, der seine Passwörter anderswo ablege. (Manfred Kohlen)