Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1179

[MS/Windows] Pufferüberlaufschwachstelle in ASN.1-Bibliothek (Update)
(2004-02-15 11:48:15.473343+00)

Quelle: http://www.microsoft.com/technet/security/bulletin/MS04-007.asp

Die Abstract Syntax Notation 1 (ASN.1)-Bibliothek von Microsoft Windows NT/2000/XP und Server 2003 weist eine Pufferüberlaufschwachstelle auf, über die Angreifer beliebigen Programmcode mit SYSTEM-Privilegien ausführen können.
Es wurden erste Exploit Codes zur Ausnutzung dieser Schwachstelle veröffentlicht.

Betroffene Systeme

Einfallstor
Einfallstore sind alle netzbasierten Dienste die direkt oder indirekt ASN.1-kodierte Daten verarbeiten oder transportieren (siehe Kontext).

Auswirkung
Ausführung beliebigen Programmcodes mit SYSTEM-Privilegien
(remote system compromise)

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Exploit Code
Es wurde Exploit Code zur Ausnutzung dieser Schwachstelle veröffentlicht. Der Code ist derzeit in der Lage, über eine NetBIOS-Verbindung die LSASS.EXE zum Absturz zu bringen (das System führt bei Windows 2000 nach einer Minute automatisch einen Neustart durch). Gegen Windows 2000 Server und Windows XP Prof. wurde dies durch das RUS-CERT verifiziert.

Es muss damit gerechnet werden, dass zeitnah Exploit Code verfügbar sein wird, der es einem Angreifer erlaubt, ein ungeschütztes System zu kompromittieren (remote system compromise).

Soweit bekannt, kann der Code derzeit für Angriffe gegen

eingesetzt werden.

Kontext
Die Abstract Syntax Notation 1 (ASN.1) spezifiziert, wie beliebige Daten in strukturierter Form abgelegt werden können. Sogenannte Encoding Rules legen fest, wie diese Daten in einen Strom von Bytes umzuwandeln sind. Dieser Bytestrom kann beispielsweise über ein Rechnernetz zu einem anderen System übertragen werden, welches den Bytestrom dekodieren kann und somit Zugriff auf die ursprünglichen, strukturierten Daten erhält.

ASN.1 wird von vielen Standards eingesetzt, um portable Datenaustauschformate zu definieren. Zu den Protokollen im Windows-Umfeld, die direkt oder indirekt ASN.1 verwenden, gehören:

Diese Dienste werden sowohl auf Servern und Clients unter Verwendung derselben ASN.1-Bibliothek implementiert.

Beschreibung
Die ASN.1-Bibliothek (MSASN1.DLL), welche von zahlreichen Windows-Komponenten verwendet wird (siehe Kontext), weist eine Pufferüberlaufschwachstelle auf. Diese Bibliothek wird teilweise mit SYSTEM-Privilegien ausgeführt, wodurch eine Systemkompromittierung möglich ist.

Von der Schwachstelle sind neben Server-Diensten auch Clients betroffen, die eine der Authentifizierungsfunktionen (wie NTLMv2) oder eines der Verschlüsselungsprotokolle (z.B. TLS) nutzen.

Hinweis:
Hostbasierte Filter mittels IPsec-Richtlinien schützen verwundbare Systeme nicht.

Gegenmaßnahmen
Microsoft stellt Patches zur Verfügung:

sowie für die 64-Bit-Versionen:

Vulnerability ID

Revisionen dieser Meldung

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1179