You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-1508

[MS/Windows] Microsoft stellt Patches für insgesamt drei Schwachstellen bereit
(2009-01-13 20:20:06.900084+00) Druckversion

Quelle: http://www.microsoft.com/technet/security/bulletin/ms09-jan.mspx

Im Rahmen des Microsoft Security Bulletin Summary for January 2009 stellt Microsoft Patches für insgesamt drei Schwachstellen bereit, die dazu ausgenutzt werden können, das beherbergende System in einen unbenutzbaren Zustand zu versetzen sowie potentiell beliebigen Programmcode auf dem beherbergenden System auszuführen.

Inhalt

Zusammenfassung

  • CVE-2008-4834:
    Betroffen: Microsoft Windows
    Einfallstor: 139/tcp, 139/udp, 445/tcp und 445/udp (SMB-Pakete)
    Angriffsvoraussetzung:network
    Angriffsvektorklasse: remote
    Auswirkung: system compromise
    Typ: Pufferüberlaufschwachstelle
    Gefahrenpotential: sehr hoch
    Workaround: bedingt
    Gegenmaßnahmen: Patches
    Vulnerability ID: CVE-2008-4834
  • CVE-2008-4835:
    Betroffen: Microsoft Windows
    Einfallstor: 139/tcp, 139/udp, 445/tcp und 445/udp (SMB-Pakete)
    Angriffsvoraussetzung:network
    Angriffsvektorklasse: remote
    Auswirkung: system compromise
    Typ: Pufferüberlaufschwachstelle
    Gefahrenpotential: sehr hoch
    Workaround: bedingt
    Gegenmaßnahmen: Patches
    Vulnerability ID: CVE-2008-4835
  • CVE-2008-4114:
    Betroffen: Microsoft Windows
    Einfallstor: 139/tcp, 139/udp, 445/tcp und 445/udp (SMB-Pakete)
    Angriffsvoraussetzung:network
    Angriffsvektorklasse: remote
    Auswirkung: DoS
    Typ: Pufferüberlaufschwachstelle
    Gefahrenpotential: mittel
    Workaround: bedingt
    Gegenmaßnahmen: Patches
    Vulnerability ID: CVE-2008-4114

Betroffene Systeme

  • CVE-2008-4834:
    • Microsoft Windows 2000 SP4
    • Windows XP SP2
    • Windows XP SP3
    • Windows XP Professional x64 Edition
    • Windows XP Professional x64 Edition SP2
    • Windows Server 2003 SP1
    • Windows Server 2003 SP2
    • Windows Server 2003 x64 Edition
    • Windows Server 2003 x64 Edition SP2
    • Windows Server 2003 SP1 für Itanium-basierte Systeme
    • Windows Server 2003 SP2 für Itanium-basierte Systeme
    • Windows Vista
    • Windows Vista SP1
    • Windows Vista x64 Edition
    • Windows Vista x64 Edition SP1
    • Windows Server 2008 für 32-bit-Systeme
    • Windows Server 2008 für x64-basierte Systeme
    • Windows Server 2008 für Itanium-basierte Systeme
  • CVE-2008-4835:
    • Microsoft Windows 2000 SP4
    • Windows XP SP2
    • Windows XP SP3
    • Windows XP Professional x64 Edition
    • Windows XP Professional x64 Edition SP2
    • Windows Server 2003 SP1
    • Windows Server 2003 SP2
    • Windows Server 2003 x64 Edition
    • Windows Server 2003 x64 Edition SP2
    • Windows Server 2003 SP1 für Itanium-basierte Systeme
    • Windows Server 2003 SP2 für Itanium-basierte Systeme
    • Windows Vista
    • Windows Vista SP1
    • Windows Vista x64 Edition
    • Windows Vista x64 Edition SP1
    • Windows Server 2008 für 32-bit-Systeme
    • Windows Server 2008 für x64-basierte Systeme
    • Windows Server 2008 für Itanium-basierte Systeme
  • CVE-2008-4114:
    • Microsoft Windows 2000 SP4
    • Windows XP SP2
    • Windows XP SP3
    • Windows XP Professional x64 Edition
    • Windows XP Professional x64 Edition SP2
    • Windows Server 2003 SP1
    • Windows Server 2003 SP2
    • Windows Server 2003 x64 Edition
    • Windows Server 2003 x64 Edition SP2
    • Windows Server 2003 SP1 für Itanium-basierte Systeme
    • Windows Server 2003 SP2 für Itanium-basierte Systeme
    • Windows Vista
    • Windows Vista SP1
    • Windows Vista x64 Edition
    • Windows Vista x64 Edition SP1
    • Windows Server 2008 für 32-bit-Systeme
    • Windows Server 2008 für x64-basierte Systeme
    • Windows Server 2008 für Itanium-basierte Systeme

Einfallstor

  • CVE-2008-4834:
    SMB-Pakete, Ports 139/tcp, 139/udp, 445/tcp und 445/udp
  • CVE-2008-4835:
    SMB-Pakete, Ports 139/tcp, 139/udp, 445/tcp und 445/udp
  • CVE-2008-4114:
    SMB-Pakete, Ports 139/tcp, 139/udp, 445/tcp und 445/udp

Angriffsvoraussetzung

  • CVE-2008-4834:
    Zugriff auf eine Netzwerkverbindung über die entsprechende SMB-Pakete an ein betroffenes System gesandt werden können
    (network)
  • CVE-2008-4835:
    Zugriff auf eine Netzwerkverbindung über die entsprechende SMB-Pakete an ein betroffenes System gesandt werden können
    (network)
  • CVE-2008-4114:
    Zugriff auf eine Netzwerkverbindung über die entsprechende SMB-Pakete an ein betroffenes System gesandt werden können
    (network)

Angriffsvektorklasse

  • CVE-2008-4834:
    über eine Netzwerkverbindung
    (remote)
  • CVE-2008-4835:
    über eine Netzwerkverbindung
    (remote)
  • CVE-2008-4114:
    über eine Netzwerkverbindung
    (remote)

Auswirkung

  • CVE-2008-4834:
    Ausführung beliebigen Programmcodes auf dem beherbergenden System mit administrativen Privilegien
    (system compromise)
  • CVE-2008-4835:
    Ausführung beliebigen Programmcodes auf dem beherbergenden System mit administrativen Privilegien
    (system compromise)
  • CVE-2008-4114:
    Versetzen des beherbergenden Systems in einen unbenutzbaren Zustand
    (denial of service)

Typ der Verwundbarkeit

  • CVE-2008-4834:
    Pufferüberlaufschwachstelle
    (buffer overflow bug)
  • CVE-2008-4835:
    Pufferüberlaufschwachstelle
    (buffer overflow bug)
  • CVE-2008-4114:
    Pufferüberlaufschwachstelle
    (buffer overflow bug)

Gefahrenpotential

  • CVE-2008-4834:
    sehr hoch
  • CVE-2008-4835:
    sehr hoch
  • CVE-2008-4114:
    mittel

(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext

Das Server Message Block (SMB/CIFS)-Protokoll, das verschiedentlich auch als LanManager oder NetBIOS-Protokoll bezeichnet wird. Seit 1996 wird die erweiterte Version Common Internet File System (CIFS) verwendet, die auf SMB basiert. SMB/CIFS wird von Microsoft-Betriebssystemen für netzbasierte Dateisysteme und andere verteilte Anwendungen benutzt.

Beschreibung

  • CVE-2008-4834:
    Eine Schwachstelle in der SMB-Implementierung der o.g.) Microsoft Windows Betriebssysteme enthält eine Schwachstelle die von einem Angreifer dazu ausgenutzt werden kann, beliebigen Programmcode mit den Privilegien der Prozesse auf dem beherbergenden System auszuführen, die SMB-Pakete und -Nachrichten verarbeiten. Dies sind i.A. administrative Privilegien, so dass eine erfolgreiche Ausnutzung der Schwachstelle unmittelbar zur Kompromittierung des beherbergenden Systems führt. Um die Schwachstelle erfolgreich ausnutzen zu können, ist es erforderlich, dass der Angreifer in der Lage ist, entsprechend präparierte SMB-Pakete an ein verwundbares System zu senden.

    Insbesondere Systeme, die Netzlaufwerke über Firewalls hinweg zur Verfügung stellen, sind durch diese Schwachstelle extrem gefährdet!

  • CVE-2008-4835:
    Eine Schwachstelle in der SMB-Implementierung der o.g.) Microsoft Windows Betriebssysteme enthält eine Schwachstelle die von einem Angreifer dazu ausgenutzt werden kann, beliebigen Programmcode mit den Privilegien der Prozesse auf dem beherbergenden System auszuführen, die SMB-Pakete und -Nachrichten verarbeiten. Dies sind i.A. administrative Privilegien, so dass eine erfolgreiche Ausnutzung der Schwachstelle unmittelbar zur Kompromittierung des beherbergenden Systems führt. Um die Schwachstelle erfolgreich ausnutzen zu können, ist es erforderlich, dass der Angreifer in der Lage ist, entsprechend präparierte SMB-Pakete an ein verwundbares System zu senden.

    Insbesondere Systeme, die Netzlaufwerke über Firewalls hinweg zur Verfügung stellen, sind durch diese Schwachstelle extrem gefährdet!

  • CVE-2008-4114:
    Eine Schwachstelle in der SMB-Implementierung der o.g.) Microsoft Windows Betriebssysteme enthält eine Schwachstelle die von einem Angreifer dazu ausgenutzt werden kann, das beherbergende System in einen Um die Schwachstelle erfolgreich ausnutzen zu können, ist es erforderlich, dass der Angreifer in der Lage ist, entsprechend präparierte SMB-Pakete an ein verwundbares System zu senden.

    Insbesondere Systeme, die Netzlaufwerke über Firewalls hinweg zur Verfügung stellen, sind durch diese Schwachstelle besonders gefährdet!

  • Workaround

  • CVE-2008-4834:
    • Einschränkung der Zugriffsmöglichkeiten auf einen SMB-File- oder Druck-Server mittels Firewalls auf das absolute Minimum.
      Insbesondere sollten in keinem Fall Datei- oder Druck-Dienste über die Netzgrenzen einer Organisation hinaus exportiert werden, um sie z.B. über das Internet externen Mitarbeitern zur Verfügung zu stellen. Solche Lösungen müssen als extrem leichtsinnig eingestuft werden.
    • Diese Maßnahme behebt die Schwachstelle nicht, sie schränkt lediglich den kreis potentieller Angreifer ein.
  • CVE-2008-4835:
    • Einschränkung der Zugriffsmöglichkeiten auf einen SMB-File- oder Druck-Server mittels Firewalls auf das absolute Minimum.
      Insbesondere sollten in keinem Fall Datei- oder Druck-Dienste über die Netzgrenzen einer Organisation hinaus exportiert werden, um sie z.B. über das Internet externen Mitarbeitern zur Verfügung zu stellen. Solche Lösungen müssen als extrem leichtsinnig eingestuft werden.
    • Diese Maßnahme behebt die Schwachstelle nicht, sie schränkt lediglich den kreis potentieller Angreifer ein.
  • CVE-2008-4114:
    • Einschränkung der Zugriffsmöglichkeiten auf einen SMB-File- oder Druck-Server mittels Firewalls auf das absolute Minimum.
      Insbesondere sollten in keinem Fall Datei- oder Druck-Dienste über die Netzgrenzen einer Organisation hinaus exportiert werden, um sie z.B. über das Internet externen Mitarbeitern zur Verfügung zu stellen. Solche Lösungen müssen als extrem leichtsinnig eingestuft werden.
    • Diese Maßnahme behebt die Schwachstelle nicht, sie schränkt lediglich den kreis potentieller Angreifer ein.
  • Gegenmaßnahmen

    • CVE-2008-4834:
      Installation der mit dem Microsoft Bulletin MS09-001 bereitgestellten Updates
    • CVE-2008-4835:
      Installation der mit dem Microsoft Bulletin MS09-001 bereitgestellten Updates
    • CVE-2008-4114:
      Installation der mit dem Microsoft Bulletin MS09-001 bereitgestellten Updates

    Vulnerability ID

    (og)

    Hinweis
    Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

    Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

    Vorherige Meldung Weitere Meldungen... Nächste Meldung

    Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.