You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-791

[MS/Windows 2000] DoS gegen Windows 2000
(2002-04-18 18:28:37+00) Druckversion

Quelle: http://cert.Uni-Stuttgart.DE/archive/bugtraq/2002/04/msg00225.html

Durch speziell formulierte TCP-Pakete an Microsoft Windows 2000 Systeme auf Port 445 wird die CPU zu 100% ausgelastet.

Betroffene Systeme

  • Microsoft Windows 2000

Einfallstor
Speziell formulierte Pakete an TCP-Port 445

Auswirkung
Denial of Service (DoS)

Typ der Verwundbarkeit
Es liegt derzeit nicht genügend Information vor.

Gefahrenpotential
niedrig bis mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Durch speziell formulierte Pakete an den microsoft-ds Port (TCP 445) wird die CPU des beherbergenden Rechnersystems zu 100% ausgelastet und der verfügbare Speicher beansprucht. Nach Angaben von Microsoft "erholt" sich das System nach einigen Minuten, falls der Angriff nicht fortgesetzt wird.

Es wird berichtet, daß ein kontinuierlicher Datenstrom von 10k Null-Zeichen 100% CPU-Auslastung (durch den LANMAN-Dienst) erzeugt.

Workaround
Microsoft empfiehlt in Q320751:

  • Falls NetBIOS nicht benötigt wird sollte NetBIOS (über TCP/IP) deaktiviert werden:
    1. START|Settings|Network and Dial-up Connection
    2. rechtsklick auf Local Area Connection
    3. Auswahl von "Properties"
    4. Auswahl von "Internet Protocol (TCP/IP)", "Properties", "Advanced"
    5. Auswahl des "Wins"-Registerblattes und Auswahl von "Disable NetBIOS over TCP/IP"
    6. Auswahl von "Ok"
  • Definition (mittels regedit) der "MaxWorkItems"
    1. Start des Regedt32.exe
    2. Auswahl von "Properties" im Registry-Schlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\
    3. Im "Edit"-Menu "Add Value" auswählen
    4. MaxWorkItems eingeben und als Typ REG_DWORD auswählen und mit "Ok" bestätigen
    5. Den Wert anhand folgender Information festlegen:
      • 1024 für Computer mit mehr als 2 GB Hauptspeicher
      • 512 für Computer mit 512 MB - 2 GB Hauptspeicher
      • 256 für Computer mit weniger als 512 MB Hauptspeicher

Gegenmaßnahmen
Bislang liegt kein Patch vor.

Weitere Information zu diesem Thema

  • Q320751 Denial of Service Attack on Port 445 May Cause Excessive CPU Use

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.