Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1144

[MS/Windows NT/2000/XP/Server 2003] Kritische Schwachstellen in RPCSS-Dienst
(2003-09-10 17:21:36.76665+00)

Quelle: http://www.microsoft.com/technet/security/bulletin/MS03-039.asp

Zwei Pufferüberlaufschwachstellen im Remote Procedure Call Server Service (RPCSS) ermöglichen durch das Senden speziell formulierter Requests die Kompromittierung des beherbergenden Rechnersystems. Eine Denial-of-Service-Schwachstelle führt zur Nichtverfügbarkeit des RPC-Dienstes.

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor
Es ist davon auszugehen, daß folgende Einfallstore sich für Angriffe eignen:

Auswirkung

  1. Kompromittierung des beherbergenden Rechnersystems über eine Netzwerkverbindung
    (remote root compromise)
  2. Kompromittierung des beherbergenden Rechnersystems über eine Netzwerkverbindung
    (remote root compromise)
  3. Nichtverfügbarkeit des RPC-Dienstes
    (Denial of Service)

Typ der Verwundbarkeit

  1. buffer overflow bug
  2. buffer overflow bug
  3. unbekannt

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Im RPCSS Service existieren drei Schwachstellen, von denen zwei potentiell die Ausführung beliebigen Programmcodes und die dritte einen Denial of Service-Angriff auf den RPC-Dienst ermöglichen. Keine dieser Schwachstellen ist identisch mit der im RUS-CERT-Advisory#1124 beschriebenen Schwachstelle.

Unter bestimmten Bedingungen überprüft RPCSS eingehende RPC-Nachrichten nicht korrekt. Nach erfolgreicher Etablierung einer Verbindung kann diese Schwachstelle von einem Angreifer mittels des Sendens einer speziell formulierten RPC-Nachricht an RPCSS dazu ausgenutzt werden, einen Pufferüberlauf in der darunter liegenden DCOM activation infrastructure zu provozieren. Dies kann potentiell dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des RPCSS bzw. der DCOM activation infrastructure auszuführen. Üblicherweise sind dies SYSTEM-Privilegien, so daß die erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Rechnersystems führt.

Die erfolgreiche Ausnutzung der DoS-Schwachstelle führt zur Nichtverfügbarkeit des RPC-Dienstes auf dem beherbergenden Rechnersystem.

Gegenmaßnahmen
Microsoft stellt Patches zur Verfügung:

Die Installation des Sicherheitsupdates erfordert einen Neustart des Systems und kann auf Windows NT 4.0 mit Service Pack 6/6a, Windows 2000 mit Service Pack 2, 3 oder 4, Windows XP mit oder ohne Service Pack 1 und Windows Server 2003 erfolgen.

Das Sicherheitsupdate beinhaltet auch die Patches aus den Microsoft Security Bulletins MS03-026 und MS01-048.

Werkzeuge zur Detektion verwundbarer Hosts
Für gängige Security-Scanner wie Nessus, ISS, ... gibt es mittlerweile Plugins zur Detektion verwundbarer Hosts. Darüberhinaus gibt es z.B. folgende frei verfügbaren Werkzeuge zur Detektion verwundbarer Hosts:

Vulnerability ID

Revisionen dieser Meldung

Weitere Information zu diesem Thema

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1144