Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1087

[MS/Windows XP,2000,NT,IIS] Kritische Schwachstelle in Windows 2000/NT/XP Bibliothek (Update)
(2003-05-29 09:03:49.4012+00)

Quelle: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-007.asp

Nach Angaben von Microsoft enthält die Windows XP/2000/NT Bibliothek ntdll.dll eine Pufferüberlaufschwachstelle. Diese Schwachstelle kann offenbar insbesondere gegen Microsoft IIS 5.0 Webserver zur Systemkompromittierung über eine Netzwerkverbindung ohne Authentifizierung ausgenutzt werden. Am 24.04.2003 hat Microsoft bekannt gegeben, dass auch Windows NT 4.0 von dieser Schwachstelle betroffen ist und am 28.05.2003 wurde bestätigt, dass auch Windows XP betroffen ist.

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor

Auswirkung
Ausführung beliebigen Programmcodes (bei IIS basierten Angriffen mit SYSTEM-Privilegien)

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Nach Angaben von Microsoft enthält die Windows-Bibliothek ntdll.dll, die unter anderem von der World Wide Web Distributed Authoring and Versioning (WebDAV) Komponente des Microsoft Internet Information Servers (IIS) 5.0 verwendet wird, eine Pufferüberlaufschwachstelle. Diese Schwachstelle kann offenbar gegen Microsoft IIS 5.0 Webserver zur Systemkompromittierung ausgenutzt werden, was, diversen Angaben zur Folge, bereits geschehen ist. Da diese Windows-Bibliothek vielfach verwendet wird, sind andere Angriffsmöglichkeiten, die nicht IIS als Einfallstor benutzen, nicht ausgeschlossen. Wie Microsoft am 24.04.2003 bekannt gegeben hat, ist entgegen der ersten Angabe auch Windows NT 4.0 von dieser Schwachstelle betroffen. Am 28.05.2003 wurde ferner bekannt gegegeben, dass entgegen ersten Angaben auch Windows XP von der beschriebenen Schwachstelle betroffen ist.

Exploitcode
Es liegen Berichte vor, nach denen ein Exploitcode im Untergrund verfügbar sein soll. Ferner gibt es Pressemitteilungen, dass bereits IIS 5.0 Webserver mittels dieses Exploitcodes erfolgreich angegriffen wurden (siehe z.B: U.S. military computer attacked (MSNBC)). Die genaue Signatur dieser Angriffe (bzw. Logfileeinträge) liegen uns leider nicht vor.

Merkwürdig ist in diesem Zusammenhang die Verwirrung um mögliche Angriffe (z.B. Information darüber, welche WebDAV-Methoden die Schwachstelle ausnützen können sollen). Ferner wurde, möglicherweise bedingt durch Angriffe gegen U.S. Militär-Webserver und die bevorstehenden Ereignisse, strikte Geheimhaltung vereinbart, so dass Informationen unvollständig und teilweise widersprüchlich sind.

Am 24.03.2003 wurde ein Exploitcode veröffentlicht, der einen überlangen SEARCH-Request gegen IIS 5.0 Webserver mit WebDAV verwendet. Dies wurde vom RUS-CERT gegen Windows 2000 Server (mit SP3 ohne MS03-007) verifiziert. Angriffe mit diesem Programmcode erzeugen bei nicht erfolgreichen Angriffen folgende Logfileeintragungen:

SEARCH / -411-
Der IIS-Dienst wird automatisch neu gestartet (dies ist in den Logfiles ebenfalls vermerkt). Bei erfolgreichen Angriffen findet keine Protokollierung statt.

Feststellen eines IIS-Webservers mit aktiviertem WebDAV

Verbinden Sie sich mittels auf den Webserver (TCP-Port 80) und geben folgenden Befehl ein Ein System mit aktivem WebDAV gibt als Ausgabe folgendes (Abweichungen sind möglich):

Workaround
Sollte es nicht möglich sein das verfügbare Sicherheitsupdate zu installieren, so zeigt das Microsoft-Advisory MS03-007 gangbare Workarounds auf:

Gegenmaßnahmen
Microsoft stellt ein Sicherheitsupdate für Windows 2000/NT/XP zur Verfügung:

Hinweis:
Offenbar gibt es Probleme bei Windows 2000 Systemen mit installiertem Service Pack 2 und bestimmten Sicherheitsupdates in Kombination mit dem nun verfügbaren Patch. Probleme bei Systemen mit Service Pack 3 sind bislang nicht bekannt.

Vulnerability ID

Weitere Information zu diesem Thema

Revisionen dieser Meldung

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1087