Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1191

[MS/Windows] Sammelpatch behebt zahlreiche kritische Schwachstellen
(2004-04-14 13:30:22.373296+02) Druckversion

Quelle: http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

Im Microsoft-Advisory MS04-011 werden zahlreiche kritische Schwachstellen in Microsoft-Windows-Betriebssystemen beschrieben und ein Sammelpatch zur Verfügung gestellt. Einige der beschriebenen Schwachstellen erlauben einem Angreifer eine Kompromittierung des beherbergenden Rechnersystems.

Betroffene Systeme

  • Microsoft Windows NT Workstation 4.0
  • Microsoft Windows NT Server 4.0
  • Microsoft Windows NT Server 4.0 Terminal Server Edition
  • Microsoft Windows 2000
  • Microsoft Windows XP
  • Microsoft Windows Server 2003
  • Microsoft Windows 98
  • Microsoft Windows 98 Second Edition (SE)
  • Microsoft Windows Millennium Edition (ME)
  • Systeme mit Microsoft NetMeeting

Einfallstor

  1. RPC-Paket, keine Authentifizierung notwendig
  2. LDAP-Anfrage an Domain Controller
  3. Anfrage an einen SSL-Dienst (z.B. HTTPS an einen IIS-Webserver)
  4. Lesen von Daten einer Domain durch den Winlogon-Prozeß
  5. Betrachtung eines Dokumentes welches WMF/EMF Vektor/Bitmap-Informationen beinhaltet (z.B. über eine arglistige Webseite, HTML-E-Mail oder Office-Dokument)
  6. Betrachung einer arglistigen Webseite/HTML-E-Mail
  7. Starten von Applikationen mittels des Utility Managers
  8. Erzeugen von Tasks auf einem verwundbaren Rechnersystem
  9. Erzeugen von descriptor entries mittels des LDT programming interface, die auf geschützte Speicherbereiche zeigen
  10. H.323-Anfrage
  11. Starten eines speziell gestalteten Programmes mittels der Virtual DOS machine
  12. senden einer speziell fomulierten Netzwerknachricht an SSP zur Aushandlung einer Authentifizierungsmethode
  13. Anfrage an einen SSL-Dienst
  14. Einfallstore sind alle netzbasierten Dienste die direkt oder indirekt ASN.1-kodierte Daten verarbeiten oder transportieren

Auswirkung

  1. remote system compromise
  2. Denial of Service (DoS)
  3. remote system compromise
  4. remote system compromise
  5. system compromise
  6. user compromise
  7. lokale Privilegienerweiterung
  8. lokale Privilegienerweiterung
  9. lokale Privilegienerweiterung
  10. remote system compromise
  11. lokale Privilegienerweiterung
  12. Denial of Service (DoS), möglicherweise remote system compromise
  13. Denial of Service
  14. remote system compromise

Typ der Verwundbarkeit

  1. buffer overflow bug
  2. Schwachstelle bei der Verarbeitung von LDAP-Meldungen
  3. buffer overflow bug
  4. buffer overflow bug
  5. buffer overflow bug
  6. input validation error
  7. derzeit unbekannt
  8. derzeit unbekannt
  9. derzeit unbekannt
  10. buffer overflow bug
  11. buffer overflow bug
  12. buffer overflow bug
  13. derzeit unbekannt
  14. double free bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Im Microsoft Advisory MS04-011 werden 14 teils kritische Schwachstellen beschrieben. Im Einzelnen sind dies Schwachstellen in:

  1. LSASS
    Eine Schwachstelle im Local Security Authority Subsystem Service (LSASS) von Windows 2000 und Windows XP erlaubt einem unauthentifizierten Angreifer das beherbergende Rechnersystem mittels eines RPC-Pakets zu kompromittieren.
  2. LDAP
    Windows 2000 Domain Controller weisen eine Schwachstelle bei der Verarbeitung von Lightweight Directory Access Protocol (LDAP)-Anfragen auf, was zu einem Denial of Service des beherbergenden Rechnersystems führen kann.
  3. PCT
    Die Implementierung des Private Communications Transport (PCT)-Protokoll, welches Bestandteil der Microsoft Secure Sockets Layer (SSL)-Bibliothek ist, weist eine Pufferüberlaufschwachstelle auf.
  4. Winlogon
    Der Windows logon Prozess (Winlogon) weist eine Pufferüberlaufschwachstelle auf.
  5. Metafile
    Microsoft Windows weist eine Pufferüberlaufschwachstelle bei der Darstellung von Windows Metafile (WMF) und Enhanced Metafile (EMF) Dateien auf. Bei der Betrachtung von WMF/EMF-Dateien kann durch diese Schwachstelle beliebiger Programmcode mit SYSTEM-Privilegien ausgeführt werden. WMF/EMF-Dateien köennen z.B. auf Webseiten, in HTML-E-Mails oder in Office-Dokumenten eingebunden werden.
  6. Help and Support Center
    Durch eine Schwachstelle bei der Validierung von Help and Support Center (HSC)-URLs kann beliebiger Programmcode mit den Privilegien des jeweiligen Benutzers ausgeführt werden. Arglistige HSC-URLs können z.B. in Webseiten und HTML-E-Mails eingebettet werden.
  7. Utility Manager
    Durch eine Schwachstelle im Utility Manager können lokal am System angemeldete Benutzer Ihre Privilegien erweitern.
  8. Windows Management
    Durch eine Schwachstelle im Windows Mangement Interface (WMI) Provider von Windows XP können lokal am System angemeldete Benutzer Ihre Privilegien erweitern.
  9. Local Descriptor Table
    Microsoft Windows NT/2000 weist eine Schwachstelle auf, wodurch beliebige Programme Local Descriptor Table (LDT) Descriptor-Eintragungen vornehmen und somit auf geschützte Speicherbereiche zugreifen können. Durch diese Schwachstelle können am System angemeldete Benutzer Ihre Privilegien erweitern.
  10. H.323
    Eine Schwachstelle in den Routinen zur Verarbeitung von H.323-Requests kann von einem Angreifer dazu ausgenutzt werden, das beherbergende Rechnersystem zu kompromittieren. H.323 ist ein Protokoll für Echtzeitkommunikationsanwendungen. Es wird benutzt, um Anwendungen zu realisieren, bei denen Echtzeitkommunikation zwischen Teilnehmern über ein Netzwerk erforderlich ist, wie beispielsweise IP-Telefonie-, Videokonferenz-Anwendungen.
    Windows-Betriebssysteme stellen diese Routinen u.a. über das TAPInterface (Telephony Application Programming Interface) bereitgestellt. Weiterhin verwenden folgede Anwendungen diese Routinen:
    • NetMeeting
    • Internet Connection firewall (ICF)
    • Internet Connection Sharing
    • The Microsoft Routing and Remote Access service
  11. Virtual DOS Machine
    Die Virtual DOS Machine (VDM) von Windows NT emuliert MS-DOS und weist eine Schwachstelle auf, durch die lokal am System angemeldete Benutzer ihre Privilegien erweitern können.
  12. Negotiate SSP
    Negotiate Security Software Provider (SSP) ist eine Applikation, die über eine Netzwerkverbindung angesprochen werden kann, um eine Authentifizierungsmethode für den Zugriff auf eine Applikation des beherbergenden Rechnersystems auszuhandeln.
    Eine Schwachstelle in der internen Verarbeitung der Daten, die bei einer Aushandlung an SSP gesendet werden, kann von einem Angreifer dazu ausgenutzt werden, das beherbergende Rechnersytem zu kompromittieren oder in einen unbenutzbaren Zustand zu versetzen (DoS).
  13. SSL
    Microsoft Windows weist eine Schwachstelle bei der Verarbeitung von SSL-Anfragen auf, wodurch ein Denial of Service Angriff gegen Systeme, die SSL-basierte Dienste anbieten, möglich sind.
  14. ASN.1
    Die Abstract Syntax Notation 1 (ASN.1)-Bibliothek (MSASN1.DLL), welche von zahlreichen Windows-Komponenten verwendet wird, weist eine Schwachstelle auf. Diese Bibliothek wird teilweise mit SYSTEM-Privilegien ausgeführt, wodurch eine Systemkompromittierung möglich ist.

Gegenmaßnahmen
Microsoft stellt einen Sammelpatch zur Verfügung:

Vulnerability ID

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2014 RUS-CERT, Universität Stuttgart, http://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.