Im Microsoft-Advisory MS04-011 werden zahlreiche kritische Schwachstellen in Microsoft-Windows-Betriebssystemen beschrieben und ein Sammelpatch zur Verfügung gestellt. Einige der beschriebenen Schwachstellen erlauben einem Angreifer eine Kompromittierung des beherbergenden Rechnersystems.

Betroffene Systeme

• Microsoft Windows NT Workstation 4.0
• Microsoft Windows NT Server 4.0
• Microsoft Windows NT Server 4.0 Terminal Server Edition
• Microsoft Windows 2000
• Microsoft Windows XP
• Microsoft Windows Server 2003
• Microsoft Windows 98
• Microsoft Windows 98 Second Edition (SE)
• Microsoft Windows Millennium Edition (ME)
• Systeme mit Microsoft NetMeeting

Einfallstor

1. RPC-Paket, keine Authentifizierung notwendig
2. LDAP-Anfrage an Domain Controller
3. Anfrage an einen SSL-Dienst (z.B. HTTPS an einen IIS-Webserver)
4. Lesen von Daten einer Domain durch den Winlogon-Prozeß
5. Betrachtung eines Dokumentes welches WMF/EMF Vektor/Bitmap-Informationen beinhaltet (z.B. über eine arglistige Webseite, HTML-E-Mail oder Office-Dokument)
6. Betrachung einer arglistigen Webseite/HTML-E-Mail
7. Starten von Applikationen mittels des Utility Managers
8. Erzeugen von Tasks auf einem verwundbaren Rechnersystem
9. Erzeugen von descriptor entries mittels des LDT programming interface, die auf geschützte Speicherbereiche zeigen
10. H.323-Anfrage
11. Starten eines speziell gestalteten Programmes mittels der Virtual DOS machine
12. senden einer speziell fomulierten Netzwerknachricht an SSP zur Aushandlung einer Authentifizierungsmethode
13. Anfrage an einen SSL-Dienst
14. Einfallstore sind alle netzbasierten Dienste die direkt oder indirekt ASN.1-kodierte Daten verarbeiten oder transportieren

Auswirkung

1. remote system compromise
2. Denial of Service (DoS)
3. remote system compromise
4. remote system compromise
5. system compromise
6. user compromise
7. lokale Privilegienerweiterung
8. lokale Privilegienerweiterung
9. lokale Privilegienerweiterung
10. remote system compromise
11. lokale Privilegienerweiterung
12. Denial of Service (DoS), möglicherweise remote system compromise
13. Denial of Service
14. remote system compromise

Typ der Verwundbarkeit

1. buffer overflow bug
2. Schwachstelle bei der Verarbeitung von LDAP-Meldungen
3. buffer overflow bug
4. buffer overflow bug
5. buffer overflow bug
6. input validation error
7. derzeit unbekannt
8. derzeit unbekannt
9. derzeit unbekannt
10. buffer overflow bug
11. buffer overflow bug
12. buffer overflow bug
13. derzeit unbekannt
14. double free bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Im Microsoft Advisory MS04-011 werden 14 teils kritische Schwachstellen beschrieben. Im Einzelnen sind dies Schwachstellen in:

1. LSASS
   Eine Schwachstelle im Local Security Authority Subsystem Service (LSASS) von Windows 2000 und Windows XP erlaubt einem unauthentifizierten Angreifer das beherbergende Rechnersystem mittels eines RPC-Pakets zu kompromittieren.
2. LDAP
   Windows 2000 Domain Controller weisen eine Schwachstelle bei der Verarbeitung von Lightweight Directory Access Protocol (LDAP)-Anfragen auf, was zu einem Denial of Service des beherbergenden Rechnersystems führen kann.
3. PCT
   Die Implementierung des Private Communications Transport (PCT)-Protokoll, welches Bestandteil der Microsoft Secure Sockets Layer (SSL)-Bibliothek ist, weist eine Pufferüberlaufschwachstelle auf.
4. Winlogon
   Der Windows logon Prozess (Winlogon) weist eine Pufferüberlaufschwachstelle auf.
5. Metafile
   Microsoft Windows weist eine Pufferüberlaufschwachstelle bei der Darstellung von Windows Metafile (WMF) und Enhanced Metafile (EMF) Dateien auf. Bei der Betrachtung von WMF/EMF-Dateien kann durch diese Schwachstelle beliebiger Programmcode mit SYSTEM-Privilegien ausgeführt werden. WMF/EMF-Dateien köennen z.B. auf Webseiten, in HTML-E-Mails oder in Office-Dokumenten eingebunden werden.
6. Help and Support Center
   Durch eine Schwachstelle bei der Validierung von Help and Support Center (HSC)-URLs kann beliebiger Programmcode mit den Privilegien des jeweiligen Benutzers ausgeführt werden. Arglistige HSC-URLs können z.B. in Webseiten und HTML-E-Mails eingebettet werden.
7. Utility Manager
   Durch eine Schwachstelle im Utility Manager können lokal am System angemeldete Benutzer Ihre Privilegien erweitern.
8. Windows Management
   Durch eine Schwachstelle im Windows Mangement Interface (WMI) Provider von Windows XP können lokal am System angemeldete Benutzer Ihre Privilegien erweitern.
9. Local Descriptor Table
   Microsoft Windows NT/2000 weist eine Schwachstelle auf, wodurch beliebige Programme Local Descriptor Table (LDT) Descriptor-Eintragungen vornehmen und somit auf geschützte Speicherbereiche zugreifen können. Durch diese Schwachstelle können am System angemeldete Benutzer Ihre Privilegien erweitern.
10. H.323
    Eine Schwachstelle in den Routinen zur Verarbeitung von H.323-Requests kann von einem Angreifer dazu ausgenutzt werden, das beherbergende Rechnersystem zu kompromittieren. H.323 ist ein Protokoll für Echtzeitkommunikationsanwendungen. Es wird benutzt, um Anwendungen zu realisieren, bei denen Echtzeitkommunikation zwischen Teilnehmern über ein Netzwerk erforderlich ist, wie beispielsweise IP-Telefonie-, Videokonferenz-Anwendungen.
    Windows-Betriebssysteme stellen diese Routinen u.a. über das TAPInterface (Telephony Application Programming Interface) bereitgestellt. Weiterhin verwenden folgede Anwendungen diese Routinen:
    • NetMeeting
    • Internet Connection firewall (ICF)
    • Internet Connection Sharing
    • The Microsoft Routing and Remote Access service
11. Virtual DOS Machine
    Die Virtual DOS Machine (VDM) von Windows NT emuliert MS-DOS und weist eine Schwachstelle auf, durch die lokal am System angemeldete Benutzer ihre Privilegien erweitern können.
12. Negotiate SSP
    Negotiate Security Software Provider (SSP) ist eine Applikation, die über eine Netzwerkverbindung angesprochen werden kann, um eine Authentifizierungsmethode für den Zugriff auf eine Applikation des beherbergenden Rechnersystems auszuhandeln.
    Eine Schwachstelle in der internen Verarbeitung der Daten, die bei einer Aushandlung an SSP gesendet werden, kann von einem Angreifer dazu ausgenutzt werden, das beherbergende Rechnersytem zu kompromittieren oder in einen unbenutzbaren Zustand zu versetzen (DoS).
13. SSL
    Microsoft Windows weist eine Schwachstelle bei der Verarbeitung von SSL-Anfragen auf, wodurch ein Denial of Service Angriff gegen Systeme, die SSL-basierte Dienste anbieten, möglich sind.
14. ASN.1
    Die Abstract Syntax Notation 1 (ASN.1)-Bibliothek (MSASN1.DLL), welche von zahlreichen Windows-Komponenten verwendet wird, weist eine Schwachstelle auf. Diese Bibliothek wird teilweise mit SYSTEM-Privilegien ausgeführt, wodurch eine Systemkompromittierung möglich ist.

Gegenmaßnahmen
Microsoft stellt einen Sammelpatch zur Verfügung:

• Microsoft Windows NT Workstation 4.0 mit Service Pack 6a
• Microsoft Windows NT Server 4.0 mit Service Pack 6a
• Microsoft Windows NT Server 4.0 Terminal Server Edition mit Service Pack 6
• Microsoft Windows 2000 mit Service Pack 2, 3 oder 4
• Microsoft Windows XP and Microsoft Windows XP mit Service Pack 1
• Microsoft Windows XP 64-Bit Edition mit Service Pack 1
• Microsoft Windows XP 64-Bit Edition Version 2003
• Microsoft Windows Server 2003
• Microsoft Windows Server 2003 64-Bit Edition
• Microsoft NetMeeting
• Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), und Microsoft Windows Millennium Edition (ME)

Vulnerability ID

• LSASS Vulnerability - CAN-2003-0533
• LDAP Vulnerability - CAN-2003-0663
• PCT Vulnerability - CAN-2003-0719
• Winlogon Vulnerability - CAN-2003-0806
• Metafile Vulnerability - CAN-2003-0906
• Help and Support Center Vulnerability - CAN-2003-0907
• Utility Manager Vulnerability - CAN-2003-0908
• Windows Management Vulnerability - CAN-2003-0909
• Local Descriptor Table Vulnerability - CAN-2003-0910
• H.323 Vulnerability - CAN-2004-0117
• Virtual DOS Machine Vulnerability - CAN-2004-0118
• Negotiate SSP Vulnerability - CAN-2004-0119
• SSL Vulnerability - CAN-2004-0120
• ASN.1 “Double Free” Vulnerability - CAN-2004-0123

Weitere Information zu diesem Thema

• Microsoft Security Bulletin MS04-011 Sicherheitsupdate für Microsoft Windows (835732)
• eEye Digital Security Discovers Six New Security Flaws in Microsoft Windows
• Internet Security Systems Security Advisory Microsoft SSL Library Remote Compromise Vulnerability
• Foundstone Labs Security Advisory 2004-April-13 Microsoft ASN.1 Double Free Heap Memory Corruption

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/