Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1179

[MS/Windows] Pufferüberlaufschwachstelle in ASN.1-Bibliothek (Update)
(2004-02-15 11:48:15.473343+00) Druckversion

Quelle: http://www.microsoft.com/technet/security/bulletin/MS04-007.asp

Die Abstract Syntax Notation 1 (ASN.1)-Bibliothek von Microsoft Windows NT/2000/XP und Server 2003 weist eine Pufferüberlaufschwachstelle auf, über die Angreifer beliebigen Programmcode mit SYSTEM-Privilegien ausführen können.
Es wurden erste Exploit Codes zur Ausnutzung dieser Schwachstelle veröffentlicht.

Betroffene Systeme

  • Microsoft Windows NT 4.0
  • Microsoft Windows 2000
  • Microsoft Windows XP
  • Microsoft Windows Server 2003

Einfallstor
Einfallstore sind alle netzbasierten Dienste die direkt oder indirekt ASN.1-kodierte Daten verarbeiten oder transportieren (siehe Kontext).

Auswirkung
Ausführung beliebigen Programmcodes mit SYSTEM-Privilegien
(remote system compromise)

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Exploit Code
Es wurde Exploit Code zur Ausnutzung dieser Schwachstelle veröffentlicht. Der Code ist derzeit in der Lage, über eine NetBIOS-Verbindung die LSASS.EXE zum Absturz zu bringen (das System führt bei Windows 2000 nach einer Minute automatisch einen Neustart durch). Gegen Windows 2000 Server und Windows XP Prof. wurde dies durch das RUS-CERT verifiziert.

Es muss damit gerechnet werden, dass zeitnah Exploit Code verfügbar sein wird, der es einem Angreifer erlaubt, ein ungeschütztes System zu kompromittieren (remote system compromise).

Soweit bekannt, kann der Code derzeit für Angriffe gegen

  • Windows 2000
  • Windows XP
  • Windows Server 2003
eingesetzt werden.

Kontext
Die Abstract Syntax Notation 1 (ASN.1) spezifiziert, wie beliebige Daten in strukturierter Form abgelegt werden können. Sogenannte Encoding Rules legen fest, wie diese Daten in einen Strom von Bytes umzuwandeln sind. Dieser Bytestrom kann beispielsweise über ein Rechnernetz zu einem anderen System übertragen werden, welches den Bytestrom dekodieren kann und somit Zugriff auf die ursprünglichen, strukturierten Daten erhält.

ASN.1 wird von vielen Standards eingesetzt, um portable Datenaustauschformate zu definieren. Zu den Protokollen im Windows-Umfeld, die direkt oder indirekt ASN.1 verwenden, gehören:

  • X.400-Messanging (implementiert durch Microsoft Exchange)
  • X.500-Verzeichnisdienste (LDAP und Active Directory)
  • X.509-Zertifikate, dadurch mittelbar betroffen:
    • SSL/TLS bei HTTP und IMAP (z.B. IIS, Internet Explorer)
    • SMTP AUTH, SASL
    • S/MIME (z.B. Outlook und Outlook Express)
    • Kerberos-Authentifizierung
    • NTLM-v2-Authentifizierung (für die meisten Windows-Dienste wie SMB)
    • IPSec (und IKE)
  • weitere Protokolle von Microsoft und Drittherstellern

Diese Dienste werden sowohl auf Servern und Clients unter Verwendung derselben ASN.1-Bibliothek implementiert.

Beschreibung
Die ASN.1-Bibliothek (MSASN1.DLL), welche von zahlreichen Windows-Komponenten verwendet wird (siehe Kontext), weist eine Pufferüberlaufschwachstelle auf. Diese Bibliothek wird teilweise mit SYSTEM-Privilegien ausgeführt, wodurch eine Systemkompromittierung möglich ist.

Von der Schwachstelle sind neben Server-Diensten auch Clients betroffen, die eine der Authentifizierungsfunktionen (wie NTLMv2) oder eines der Verschlüsselungsprotokolle (z.B. TLS) nutzen.

Hinweis:
Hostbasierte Filter mittels IPsec-Richtlinien schützen verwundbare Systeme nicht.

Gegenmaßnahmen
Microsoft stellt Patches zur Verfügung:

sowie für die 64-Bit-Versionen:

Vulnerability ID

Revisionen dieser Meldung

  • V 1.0 (2004-02-10)
  • V 2.0 (2004-02-14) Exploit Code verfügbar
  • V 2.1 (2004-02-15) Verifizierung des DoS Exploit Code

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.