Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1124

[MS/Windows NT/2000/XP/2003] Kritische RPC-Schwachstelle (Exploitcode verfügbar)
(2003-07-25 19:29:29.494481+00)

Quelle: http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

Der RPC-Dienst von Windows NT/2000/XP/2003 weist eine kritische Pufferüberlaufschwachstelle auf, durch die Angreifer ohne vorherige Authentifizierung mittels einer RPC-Anfrage das beherbergende Rechnersystem über eine Netzwerkverbindung kompromittieren können. Neben den ursprünglich von Microsoft genannten Einfallstoren sind weitere Angriffswege möglich. Mittlerweile ist ein Exploitcode verfügbar, der einem Angreifer eine Systemkompromittierung mittels einer Verbindung zu TCP-Port 135 erlaubt.

Betroffene Systeme

Frühere Versionen werden von Microsoft nicht mehr unterstützt und sind möglicherweise ebenfalls von dieser Schwachstelle betroffen.

Nicht betroffene Systeme

Einfallstor
Es ist davon auszugehen, daß folgende Einfallstore sich für Angriffe eignen.

Auswirkung
Ausführung beliebigen Programmcodes mit SYSTEM-Privilegien
(remote system compromise)

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Microsoft Windows NT/2000/XP/2003 weist eine Pufferüberlaufschwachstelle in der Remote Procedure Call (RPC)-Komponente auf, die den Nachrichtenaustausch über TCP/IP für DCOM verarbeitet. Angreifer können diese Schwachstelle über das Netzwerk mittels einer RPC-Anfrage (über verschiedene TCP- und UDP-Ports) zur Ausführung beliebigen Programmcodes mit SYSTEM-Privilegien ausnutzen. Eine Authentifizierung ist hierfür nicht notwendig (wenn sie nicht zur Nutzung des RPC-Transportes nötig ist; bei den Ports 135/TCP und 135/UDP gibt es eine solche Sicherung nicht).

Entgegen der ersten Analyse von Microsoft, die eine wesentliche Grundlage für die erste Fassung dieser Mitteilung war, kommen als Einfallstor weitere RPC-Transportwege außer Port 135/TCP in Frage.

Workaround

Gegenmaßnahmen
Microsoft stellt Patches zur Verfügung:

Die Installation des Sicherheitsupdates erfordert einen Neustart des Systems und kann auf Windows NT 4.0 mit Service Pack 6a, Windows NT 4.0 Terminal Server mit Service Pack 6, Windows 2000 mit Service Pack 2, 3 oder 4, Windows XP mit oder ohne Service Pack 1 und Windows Server 2003 erfolgen.

Das RUS-CERT stellt ferner eine tabellarische Auflistung der verfügbaren Sicherheitsupdates für Windows NT/2000/XP unter folgenden URLs zur Verfügung:

Ferner gibt es unter nachfolgender Webseite Informationen bzgl. des zentralen Software Update Services (SUS) Server des Rechenzentrums der Universität Stuttgart, über den Windows 2000/XP/2003 Systeme, von innerhalb des universitären Netzes, automatisiert Sicherheitsupdates beziehen können:

Exploit Code
Ein Angriffsprogramm ist öffentlich verfügbar. Es ist damit zu rechnen, dass dieses zeitnah eingesetzt wird. Ein erfolgreicher Angriff (eines ungepachten Systemes) führt zur Systemkompromittierung. Dies wurde durch das RUS-CERT verifiziert. Der verfügbare Exploitcode nutzt derzeit als Einfallstor zumindest TCP-Port 135.

Werkzeuge zur Detektion verwundbarer Hosts
Für gängige Security-Scanner wie Nessus, ISS, ... gibt es mittlerweile Plugins zur Detektion verwundbarer Hosts. Darüberhinaus gibt es z.B. folgende frei verfügbaren Werkzeuge zur Detektion verwundbarer Hosts:

Vulnerability ID

Weitere Information zu diesem Thema

Revisionen dieser Meldung

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1124