Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1271

[MS/Windows] Microsoft veröffentlicht neun teils kritische Sicherheits-Patches, Malware in Umlauf (UPDATE)
(2005-12-20 12:32:26.699224+00) Druckversion

Quelle: http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms05-okt.mspx

Microsoft hat neun Patches veröffentlicht, die verschiedene Sicherheitsprobleme beheben, darunter sechs Schwachstellen, die die leichte Kompromittierung des beherbergenden Rechnersystems ermöglichen. Zu einer Schwachstelle existiert offenbar bereits funktionierender Exploit-Code, was darauf schließen läßt, daß innerhalb kürzester Zeit mit automatisierten Angriffen zu rechnen ist. Es wird dringend empfohlen, die entsprechenden Patches unverzüglich zu installieren. Seit 2005-12-15 ist der Wurm Dasher in Umlauf, der die unter MS05-051 beschriebene Schwachstelle ausnutzt, um Systeme zu kompromittieren.

Betroffene Systeme
CAN-2005-2128:
Microsoft DirectX 7.0 - 9.0c unter:

  • Windows 98, 98 SE, ME
  • Windows 2000 SP4
  • Windows XP SP1, SP2
  • Windows Server 2003 SP1

CAN-2005-2119, CAN-2005-1978 :

  • Windows 2000
  • Windows XP SP1, SP2
  • Windows Server 2003 SP1

CAN-2005-2127:

  • Internet Explorer 5.0 SP4, 5.5 SP2 (unter Windows ME)
  • Internet Explorer 6 S1 (alle unterstützten Betriebssystemversionen vor Windows Server 2003)
  • Internet Explorer 6 für Windows Server 2003 SP1
  • Internet Explorer 6 für Windows XP SP2

CAN-2005-1985
Client Service für NetWare unter:

  • Windows 2000 SP4
  • Windows XP SP1 und SP2
  • Windows Server 2003 und Windows Server 2003 SP1

CAN-2005-1987:
Microsoft Exchange Server unter:

  • Windows 2000 SP4
  • Windows XP SP1, SP2
  • Windows XP Professional x64 Edition
  • Windows Server 2003 und Server 2003 SP1
  • Windows Server 2003 für Itanium-basierte Systeme und Microsoft Windows Server 2003 mit SP1 für Itanium-basierte Systeme
  • Microsoft Windows Server 2003 x64 Edition
  • Microsoft Exchange 2000 Server Service Pack 3 mit dem Exchange 2000 Post-Service Pack 3 Update-Rollup vom August 2004

Einfallstor

  • CAN-2005-2128: Speziell präparierte AVI-Datei, die mit der DirectShow-Komponente abgespielt wird, z.B. durch Öffnen eines E-Mail Anhangs
  • CAN-2005-2119: Speziell präparierte RPC-Anfragen an Ports auf denen MSDTC-Dienste auf solche warten, im allgemeinen werden diese dynamisch konfiguriert (TCP ports > 1024)
  • CAN-2005-1978: Speziell präparierte RPC-Anfragen an Ports auf denen COM+-Dienste auf solche warten (Ports 135/udp, 137/udp, 138/udp sowie Ports 135/tcp, 139/tcp, 445/tcp und 593/tcp)
  • CAN-2005-2127: Speziell präparierte HTML-Seite, die ein präpariertes COM-Objekt instanziiert
  • CAN-2005-1985: Speziell präparierte NetWare-Nachricht an den Client Service für Netware. (Ports 139/tcp und 445/tcp)
  • CAN-2005-1987: Speziell präparierte E-Mail-Nachricht via SMTP an den Exchange Server (Port 25/tcp)

Auswirkung

  • CAN-2005-2128: Ausführen von beliebigem Programmcode mit SYSTEM-Privilegien ohne interaktiven Zugriff zum System (remote system compromise)
  • CAN-2005-2119, CAN-2005-1978: Ausführen von beliebigem Programmcode mit SYSTEM-Privilegien ohne interaktiven Zugriff zum System (remote system compromise)
  • CAN-2005-2127: Ausführen von beliebigem Programmcode mit SYSTEM-Privilegien ohne interaktiven Zugriff zum System (remote system compromise)
  • CAN-2005-1985: Ausführen von beliebigem Programmcode mit SYSTEM-Privilegien ohne interaktiven Zugriff zum System (remote system compromise)
  • CAN-2005-1987: Ausführen von beliebigem Programmcode mit SYSTEM-Privilegien ohne interaktiven Zugriff zum System (remote system compromise)

Typ der Verwundbarkeit
Unchecked Boundaries (buffer/heap overflow bug, stack overrun bug) weitere Details derzeit unbekannt

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Exploitstatus

  • CAN-2005-2119: Es gibt Hinweise, daß bereits funktionierender Exploit-Code existiert. Dies bedeutet, daß innerhalb kürzester Zeit mit Angriffen auf diese Schwachstelle zu rechnen ist. Sofern entsprechende Malware implementiert wird, wovon auszugehen ist, wird der Angriffsdruck innerhalb kürzester Zeit sehr hoch werden.
    UPDATE:
    Seit 2005-12-15 ist bekannt, dass der Wurm Dasher in Umlauf ist, der diese Schwachstelle ausnutzt, um Systeme zu kompromittieren.

Beschreibung

  • CAN-2005-2128:
    Eine Schwachstelle in der DirectShow-Komponente von DirectX kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenen Rechnersystem mit SYSTEM-Privilegien auszuführen. Dazu ist es erforderlich, daß eine präparierte AVI-Datei mit der DirectX-Komponente abgespielt wird, was z.B. beim Betrachten eines entsprechenden E-Mail-Anhanges geschehen kann.
  • CAN-2005-2119:
    Eine Schwachstelle im Microsoft Distributed Transaction Coordinator (MSDTC) kann von einem Angreifer durch das Senden einer speziell präparierten RPC-Anfrage an die dynamisch zugewiesenen Ports des Dienstes dazu ausgenutzt werden, beliebigen Programmcode mit SYSTEM-Privilegien auszuführen.
    UPDATE:
    Seit 2005-12-15 ist bekannt, dass der Wurm Dasher in Umlauf ist, der diese Schwachstelle ausnutzt, um Systeme zu kompromittieren.
  • CAN-2005-1978:
    Eine Schwachstelle in der COM+-Schnittstelle kann von einem Angreifer durch das Senden einer speziell präparierten RPC-Anfrage an die Ports des Dienstes dazu ausgenutzt werden, beliebigen Programmcode mit SYSTEM-Privilegien auszuführen.
  • CAN-2005-2127:
  • Eine Schwachstelle im Internet Explorer kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit SYSTEM-Privilegien auf dem beherbergenden Rechnersystem auszuführen. Dabei ist es erforderlich, daß ein auf diesem System angemeldeter Benutzer eine Webseite betrachtet, die den Internet Explorer dazu veranlaßt, ein COM-Objekt im System zu instantiieren. Eine solche Webseite kann von einem Angreifer erstellt werden und z.B. per E-Mail an einen Benutzer verschicken.
  • CAN-2005-1985:
    Eine Schwachstelle im Client Service für NetWare (CSNW) kann von einem Angreifer durch das Senden einer speziell präparierten NetWare-Nachricht an die Ports des Dienstes dazu ausgenutzt werden, beliebigen Programmcode mit SYSTEM-Privilegien auszuführen.
  • CAN-2005-1987:
    Eine Schwachstelle in der CDO-Implementierung (Collaboration Data Objects) in Verbindung mit dem Exchange Server kann von einem Angreifer durch das Senden einer speziell präparierten E-Mail-Nachricht an den Server dazu ausnutzen, beliebigen Programmcode mit SYSTEM-Privilegien auf dem beherbergende Rechnersystem auszuführen.

Neben diesen wurden weitere Fehler behoben, u.a. im Plug'n'Play Dienst und in der Windows Shell, die jeweils die Remote-Codeausführung ermöglichen aber gültige Authentifizierungsdaten oder Aktionen von privilegierten Benutzern erfordern. Weiterhin werden auch zwei mittelschwere Fehler behoben, u.a. im Windows-FTP Client und im Network Connection Manager, die unerlaubte Änderungen sowie einen Denial of Service ermöglichten.

Die o.b. Sicherheitsprobleme bieten z.T. erhebliches Potential, durch Malware automatisiert zur Kompromittierung von Windows Systemen ausgenutzt zu werden. Nachdem die Erfahrung zeigt, daß die Zeit zwischen Bekanntwerden einer Schwachstelle und deren Ausnutzung durch Würmer und andere Malware immer kürzer wird, sei Betreibern betroffener Systeme dringend angeraten, die von Microsoft angebotenen Patches unverzüglich zu installieren.

Gegenmaßnahmen

  • Installieren der Sicherheits-Patches
  • Schließen betroffener Ports in der Firewall-Konfiguration
  • Deaktivieren betroffener Dienste

Hinweis für Mitglieder der Universität Stuttgart:
Die Microsoft-Sicherheitsupdates sind über den RUS-eigenen SUS-Server zu beziehen. Siehe hinzu:

Vulnerability ID

Weitere Information zu diesem Thema

Revisionen dieser Meldung

  • V1.0 (2005-10-14): Erstveröffentlichung
  • V1.1 (2005-12-17): Dasher in Umlauf, nutzt CAN-2005-2119
  • (og) (ag)

    Hinweis
    Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

    Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

    Vorherige Meldung Weitere Meldungen... Nächste Meldung

    Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.