Durch einen Pufferüberlauf im SNMP-Dienst unter Microsoft Windows 95, 98, 98SE, NT 4.0, 2000 und XP kann ein Angreifer über eine Netzwerkverbindung beliebigen Programmcode mit SYSTEM-Privilegien ausführen.

Betroffene Systeme

• Microsoft Windows 95
• Microsoft Windows 98
• Microsoft Windows 98SE
• Microsoft Windows NT 4.0
• Microsoft Windows NT 4.0 Server, Terminal Server Edition
• Microsoft Windows 2000
• Microsoft Windows XP

Nicht betroffene Systeme

• Microsoft Windows ME, da Windows ME nicht mit einem SNMP-Dienst ausgeliefert wird

Einfallstor
SNMP-Anfragen (UDP-Ports 161, 162; TCP-Ports 161, 162)

Auswirkung

• Ausführung beliebigen Programmcodes mit SYSTEM-Privilegien
• Denial of Service (DoS)

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch (falls der SNMP-Dienst aktiviert ist)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
SNMP (Simple Network Management Protocol) ist ein Standardprotokoll zur Administration von Netzwerkgeräten (devices) über Netzwerkverbindungen.

Beschreibung
Durch einen Pufferüberlauf im Simple Network Management Protocol Agent-Dienst unter Microsoft Windows Betriebssystemen kann ein Angreifer über eine Netzwerkverbindung beliebigen Programmcode mit SYSTEM-Privilegien ausführen.

Der SNMP-Dienst wird bei Microsoft Windows 95, 98, 98 SE, NT 4.0, 2000 und XP normalerweise nicht automatisch installiert und gestartet. Es liegen jedoch Berichte vor, wonach beispielsweise bei OEM Versionen von Compaq, Dell, IBM, und HP, die Hardwaremonitor-Dienste installieren, der SNMP-Dienst installiert und gestartet wird.

Workaround

• Deaktivierung von SNMP-Diensten
  • Windows 95, 98 und 98SE:
    1. Start|Systemsteuerung|Netzwerk auswählen
    2. Unter Konfiguration den "SNMP Agent" aus der Liste der installierten Komponenten auswählen
    3. "Entfernen" auswählen um die SNMP-Komponente zu deinstallieren

    Zur Verifizierung mittels regedit sicherstellen, dass snmp.exe nicht in folgenden Registry-Schlüssel enthalten ist.

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

  • Windows NT 4.0 (einschließlich Terminal Server Edition) :
    1. Start|Settings|Control Panel auswählen
    2. Services doppelklicken
    3. Auswahl von SNMP aus der Liste der Dienste und auf "Stop" stellen
    4. "Statup" auswählen und auf "Disabled" stellen
  • Windows 2000:
    1. Rechtsklick auf "My Computer" und Auswahl von "Manage" im Kontextmenü
    2. Auswahl von "Services and Applications"
    3. SNMP aus der Liste der Dienste auswählen und auf "Stop" stellen
    4. "Startup" auswählen und auf "Disabled" stellen
  • Windows XP:
    1. Rechtsklick auf "My Computer" und Auswahl von "Manage" im Kontextmenü
    2. Auswahl von "Services and Applications"
    3. SNMP aus der Liste der Dienste auswählen und auf "Stop" stellen
    4. "Startup" auswählen und auf "Disabled" stellen
• Filterung von SNMP-Anfragen (UDP-Ports 161, 162; TCP-Ports 161, 162)

Gegenmaßnahmen
Microsoft stellt für Windows 2000, Windows XP und Windows NT Patches zur Verfügung. Die Patches für die weiteren Microsoft Betriebssysteme werden derzeit noch entwickelt.

• Windows NT 4.0:
  http://www.microsoft.com/downloads/release.asp?ReleaseID=36167
• Windows NT 4.0 Terminal Server Edition:
  http://www.microsoft.com/ntserver/terminalserver/downloads/critical/q314147/default.asp
• Windows 2000:
  http://www.microsoft.com/downloads/release.asp?ReleaseID=36142
• Windows XP:
  http://www.microsoft.com/downloads/release.asp?ReleaseID=36262
• Microsoft Windows 98/98SE:
  http://download.microsoft.com/download/WIN98/UPDATE/23433/W98/EN-US/314147USA8.EXE
• Patches für die weiteren Microsoft Betriebssysteme stehen derzeit noch nicht zur Verfügung.

Vulnerability ID

• CAN-2002-0053

Weitere Information zu diesem Thema

• Microsoft Security Bulletin MS02-006 Unchecked Buffer in SNMP Service Could Enable Arbitrary Code to be Run
• Incidents@Securityfocus-Mailingliste

Revisionen

• V.1.0 (2002-02-15)
• V.2.0 (2002-02-18) Patches für Windows 2000 und Windows XP verfügbar
• V.3.0 (2002-03-08) Patches für Windows NT 4.0 verfügbar
• V.4.0 (2002-03-15) Die deutschen/englischen Patches für Windows NT 4.0 Terminal Server waren fehlerhaft. Microsoft stellt seit dem 14.03.2002 korrigierte Patches zur Verfügung.
• V.5.0 (2002-04-29) Engl. Patches für Windows 98/98SE verfügbar, derzeit aber noch keine dt. Patches vorhanden.

Weitere Artikel zu diesem Thema:

• [Generic/Squid] Mehrere Schwachstellen im Squid Proxy/Cache-Server (2002-02-25)
  In Squid wurden mehrere Sicherheitslücken entdeckt, die zu einem DoS-Angriff gegen den Server sowie möglicherweise der unberechtigten Ausführung beliebigen Programmkodes mit den Privilegien des Squid-Prozesses ausgenutzt werden können.
• [Cisco/Generic] Schwachstellen im SNMP Dienst (2002-02-18)
  Viele Cisco-Produkte weisen Schwachstellen in der Verarbeitung des Simple-Network-Management-Protokolls (SNMP) auf, die für Denial of Service-Angriffe (DoS) ausgenutzt werden können.
• [Sun/Solaris] Schwachstelle im Sun Solstice Enterprise Master Agent snmpdx (2002-02-13)
  Ein Pufferüberlauffehler im Sun Solstice Enterprise Master Agent snmpdx kann von einem Angreifer über eine Netzwerkverbindung dazu ausgenutzt werden, auf dem beherbergenden Rechnersystem root-Rechte zu erlangen.
• [Generic/SNMP] Mehrere verbreitete Schwachstellen in SNMP-Implementierungen (2002-02-12)
  In zahlreichen SNMP-Implementierungen wurden nach systematischen Tests Fehler gefunden.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/