Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1035

[MS/Windows NT,2000,XP] Patch für WM_TIMER (Win32-API)-Schwachstelle (Update)
(2003-02-08 21:35:56.547876+00)

Quelle: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-071.asp

Microsoft stellt einen Patch zur Verfügung, der eine seit längerer Zeit bekannte Schwachstelle in WM_TIMER (Win32-API), die zur lokalen Privilegienerweiterung ausgenützt werden kann, behebt. Am 07.02.2003 wurde ein überarbeiteter Patch für Windows NT 4.0 veröffentlicht, da die erste Version des Patches zu Systemstörungen führen konnte.

Betroffene Systeme

Einfallstor
lokaler Benutzeraccount

Auswirkung
Ausführung beliebigen Programmcodes mit erweiterten Privilegien (z.B. mit SYSTEM-Privilegien)

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Das RUS-CERT hatte bereits im September 2002 in der Meldung "[MS/Win32-API] Lokale Privilegienerweiterung möglich" auf eine Schwachstelle im Zusammenhang mit Diensten, die mit erweiterten Privilegien arbeiten und eine Interaktion mit dem angemeldeten Benutzer vorsehen, hingewiesen. Microsoft ist nun doch der Ansicht, dass dieses grundlegende Problem durch Änderung der Verarbeitung von "WM_TIMER"-Nachrichten behoben werden kann. Aus diesem Grunde stellt Microsoft nun für die betroffenen Plattformen Patches zur Verfügung. Diese Patches verhindern zumindest, dass ein bereits zirkulierender Exploitcode (GetAd) zur lokalen Privilegienerweiterung ausgenützt werden kann.

Dieses Sicherheitsupgrade entbindet andere Hersteller nicht von der Notwendigkeit, ihre Produkte auf das grundlegende Sicherheitsproblem zu prüfen. Microsoft schließt mit diesem Patch nur ein immer einsetzbares Einfallstor, beseitigt aber nicht das (unlösbare) zugrundeliegende Problem.

Da das Sicherheitsupdate für Windows NT 4.0 zu Systemstörungen führen konnte, wurde das Update am 03.02.2003 von Microsoft zurückgezogen. Seit dem 07.02.2003 liegt eine überarbeitete Version des Sicherheitsupdates vor.

Gegenmaßnahmen
Microsoft stellt Patches zur Verfügung. Am 07.02.2003 wurde eine überarbeitete Version des Patches für Windows NT veröffentlicht.

Diese Patches können nach Angaben von Microsoft auf Windows NT 4.0 SP6a, Windows 2000 mit Service Pack 1, 2 oder 3 sowie Windows XP Gold oder SP1 installiert werden. Ein Neustart des Systems ist erforderlich.

Vulnerability ID

Weitere Information zu diesem Thema

Revisionen dieser Meldung

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1035