You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-1087

[MS/Windows XP,2000,NT,IIS] Kritische Schwachstelle in Windows 2000/NT/XP Bibliothek (Update)
(2003-05-29 09:03:49.4012+00) Druckversion

Quelle: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-007.asp

Nach Angaben von Microsoft enthält die Windows XP/2000/NT Bibliothek ntdll.dll eine Pufferüberlaufschwachstelle. Diese Schwachstelle kann offenbar insbesondere gegen Microsoft IIS 5.0 Webserver zur Systemkompromittierung über eine Netzwerkverbindung ohne Authentifizierung ausgenutzt werden. Am 24.04.2003 hat Microsoft bekannt gegeben, dass auch Windows NT 4.0 von dieser Schwachstelle betroffen ist und am 28.05.2003 wurde bestätigt, dass auch Windows XP betroffen ist.

Betroffene Systeme

  • Microsoft Windows 2000
  • Microsoft Windows XP
  • Microsoft Windows NT 4.0

Nicht betroffene Systeme

  • Microsoft Windows Server 2003

Einfallstor

  • HTTP-Anfrage an einen IIS 5.0 Webserver (mit WebDAV) über das Netzwerk - offenbar handelt es sich um einen überlangen URL. Windows NT 4.0 (mit IIS 4.0) und Windows XP (mit IIS 5.1) ist davon offenbar nicht betroffen
  • Interaktiv am System angemeldete Benutzer können die Schwachstelle in der ntdll.dll zur lokalen Privilegienerweiterung ausnutzen.
  • bislang kann nicht ausgeschlossen werden, dass es weitere Angriffsmöglichkeiten gibt

Auswirkung
Ausführung beliebigen Programmcodes (bei IIS basierten Angriffen mit SYSTEM-Privilegien)

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Nach Angaben von Microsoft enthält die Windows-Bibliothek ntdll.dll, die unter anderem von der World Wide Web Distributed Authoring and Versioning (WebDAV) Komponente des Microsoft Internet Information Servers (IIS) 5.0 verwendet wird, eine Pufferüberlaufschwachstelle. Diese Schwachstelle kann offenbar gegen Microsoft IIS 5.0 Webserver zur Systemkompromittierung ausgenutzt werden, was, diversen Angaben zur Folge, bereits geschehen ist. Da diese Windows-Bibliothek vielfach verwendet wird, sind andere Angriffsmöglichkeiten, die nicht IIS als Einfallstor benutzen, nicht ausgeschlossen. Wie Microsoft am 24.04.2003 bekannt gegeben hat, ist entgegen der ersten Angabe auch Windows NT 4.0 von dieser Schwachstelle betroffen. Am 28.05.2003 wurde ferner bekannt gegegeben, dass entgegen ersten Angaben auch Windows XP von der beschriebenen Schwachstelle betroffen ist.

Exploitcode
Es liegen Berichte vor, nach denen ein Exploitcode im Untergrund verfügbar sein soll. Ferner gibt es Pressemitteilungen, dass bereits IIS 5.0 Webserver mittels dieses Exploitcodes erfolgreich angegriffen wurden (siehe z.B: U.S. military computer attacked (MSNBC)). Die genaue Signatur dieser Angriffe (bzw. Logfileeinträge) liegen uns leider nicht vor.

Merkwürdig ist in diesem Zusammenhang die Verwirrung um mögliche Angriffe (z.B. Information darüber, welche WebDAV-Methoden die Schwachstelle ausnützen können sollen). Ferner wurde, möglicherweise bedingt durch Angriffe gegen U.S. Militär-Webserver und die bevorstehenden Ereignisse, strikte Geheimhaltung vereinbart, so dass Informationen unvollständig und teilweise widersprüchlich sind.

Am 24.03.2003 wurde ein Exploitcode veröffentlicht, der einen überlangen SEARCH-Request gegen IIS 5.0 Webserver mit WebDAV verwendet. Dies wurde vom RUS-CERT gegen Windows 2000 Server (mit SP3 ohne MS03-007) verifiziert. Angriffe mit diesem Programmcode erzeugen bei nicht erfolgreichen Angriffen folgende Logfileeintragungen:

SEARCH / -411-
Der IIS-Dienst wird automatisch neu gestartet (dies ist in den Logfiles ebenfalls vermerkt). Bei erfolgreichen Angriffen findet keine Protokollierung statt.

Feststellen eines IIS-Webservers mit aktiviertem WebDAV

Verbinden Sie sich mittels
    telnet <IP-Adresse> 80  
    
auf den Webserver (TCP-Port 80) und geben folgenden Befehl ein
    OPTIONS * HTTP/1.0
    
Ein System mit aktivem WebDAV gibt als Ausgabe folgendes (Abweichungen sind möglich):
    Allow: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIND, PROPPATCH, LOCK, UNLOCK, SEARCH
    

Workaround
Sollte es nicht möglich sein das verfügbare Sicherheitsupdate zu installieren, so zeigt das Microsoft-Advisory MS03-007 gangbare Workarounds auf:

  • Deaktivierung von WebDAV (falls WebDAV nicht benötigt wird)
    • How to Disable WebDAV for IIS 5.0
      Hinweis: Die Deaktivierung von WebDAV erfordert einen Neustart des IIS (wählen sie in der "Internet Information Services" MMC "Restart IIS" bzw. Starten Sie das System neu)
  • URLScan unterbindet nach Angaben von Microsoft standardmäßig die kritischen WebDAV-Anfragen über die diese Schwachstelle ausgenützt werden können soll

Gegenmaßnahmen
Microsoft stellt ein Sicherheitsupdate für Windows 2000/NT/XP zur Verfügung:

Hinweis:
Offenbar gibt es Probleme bei Windows 2000 Systemen mit installiertem Service Pack 2 und bestimmten Sicherheitsupdates in Kombination mit dem nun verfügbaren Patch. Probleme bei Systemen mit Service Pack 3 sind bislang nicht bekannt.

Vulnerability ID

Weitere Information zu diesem Thema

Revisionen dieser Meldung

  • V. 1.0 (2003-03-19)
  • V. 1.1 (2003-03-20) Zum Deaktivieren von WebDAV ist ein Reboot erforderlich.
  • V. 1.2 (2003-03-25) Exploitcode liegt vor
  • V. 2.0 (2003-04-25) Microsoft gibt bekannt, dass auch Windows NT 4.0 betroffen ist und stellt einen Patch zur Verfügung.
  • V. 3.0 (2003-05-29) Microsoft gibt bekannt, dass auch Windows XP betroffen ist und stellt einen Patch zur Verfügung.

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.