RUS-CERT-1035 – Archivierte Meldung

Meldung Nr: RUS-CERT-1035

[MS/Windows NT,2000,XP] Patch für WM_TIMER (Win32-API)-Schwachstelle (Update)
(2003-02-08 21:35:56.547876+00)

Quelle: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-071.asp

Microsoft stellt einen Patch zur Verfügung, der eine seit längerer Zeit bekannte Schwachstelle in WM_TIMER (Win32-API), die zur lokalen Privilegienerweiterung ausgenützt werden kann, behebt. Am 07.02.2003 wurde ein überarbeiteter Patch für Windows NT 4.0 veröffentlicht, da die erste Version des Patches zu Systemstörungen führen konnte.

Betroffene Systeme

Microsoft Windows NT 4.0
Microsoft Windows NT 4.0, Terminal Server Edition
Microsoft Windows 2000
Microsoft Windows XP

Einfallstor
lokaler Benutzeraccount

Auswirkung
Ausführung beliebigen Programmcodes mit erweiterten Privilegien (z.B. mit SYSTEM-Privilegien)

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Das RUS-CERT hatte bereits im September 2002 in der Meldung "[MS/Win32-API] Lokale Privilegienerweiterung möglich" auf eine Schwachstelle im Zusammenhang mit Diensten, die mit erweiterten Privilegien arbeiten und eine Interaktion mit dem angemeldeten Benutzer vorsehen, hingewiesen. Microsoft ist nun doch der Ansicht, dass dieses grundlegende Problem durch Änderung der Verarbeitung von "WM_TIMER"-Nachrichten behoben werden kann. Aus diesem Grunde stellt Microsoft nun für die betroffenen Plattformen Patches zur Verfügung. Diese Patches verhindern zumindest, dass ein bereits zirkulierender Exploitcode (GetAd) zur lokalen Privilegienerweiterung ausgenützt werden kann.

Dieses Sicherheitsupgrade entbindet andere Hersteller nicht von der Notwendigkeit, ihre Produkte auf das grundlegende Sicherheitsproblem zu prüfen. Microsoft schließt mit diesem Patch nur ein immer einsetzbares Einfallstor, beseitigt aber nicht das (unlösbare) zugrundeliegende Problem.

Da das Sicherheitsupdate für Windows NT 4.0 zu Systemstörungen führen konnte, wurde das Update am 03.02.2003 von Microsoft zurückgezogen. Seit dem 07.02.2003 liegt eine überarbeitete Version des Sicherheitsupdates vor.

Gegenmaßnahmen
Microsoft stellt Patches zur Verfügung. Am 07.02.2003 wurde eine überarbeitete Version des Patches für Windows NT veröffentlicht.

Windows NT 4.0:
Alle Sprachversionen mit Ausnahme von Japanse NEC und Chinese - Hong Kong
Windows NT 4.0, Terminal Server Edition:
Alle Sprachversionen
Windows 2000:
Alle Sprachversionen mit Ausnahme von Japanese NEC
Windows XP:
32-bit Edition
64-bit Edition

Diese Patches können nach Angaben von Microsoft auf Windows NT 4.0 SP6a, Windows 2000 mit Service Pack 1, 2 oder 3 sowie Windows XP Gold oder SP1 installiert werden. Ein Neustart des Systems ist erforderlich.

Vulnerability ID

CAN-2002-1230

Weitere Information zu diesem Thema

Microsoft Security Bulletin MS02-071 Flaw in Windows WM_TIMER Message Handling Could Enable Privilege Elevation (328310)

Revisionen dieser Meldung

V.1.0 (2002-12-12)
V.2.0 (2003-02-04) Da es durch das Sicherheitsupdate für Windows NT 4.0 zu Systemstörungen kommen konnte, hat Microsoft den Patch am 03.02.2003 zurückgezogen. Eine überarbeitete Version des Sicherheitsupdates liegt bislang nicht vor.
V.3.0 (2003-02-08) Microsoft stellt einen korrigierten Patch für Windows NT zur Verfügung.

(tf)

Weitere Artikel zu diesem Thema:

[MS/Windos 2000] Lokale Privilegienerweiterung über den Utility Manager (2003-07-10)
Bekanntermaßen weist Microsoft Windows eine Schwachstelle auf, durch die interaktiv am System angemeldete Benutzer mittels Programmen/Diensten, die mit erweiterten Privilegien ausgeführt werden und eine Interaktion des Benutzers vorsehen, ihre Privilegien erweitern können (siehe: RUS-CERT-Meldung #915). Für Windows 2000 mit Service Pack 3 stellt Microsoft nun ein Patch zur Verfügung, der dieses Problem in Kombination mit dem Utility Manager beseitigt. Der Patch ist bereits Bestandteil des Service Pack 4 für Windows 2000. (dt. Fassung, CAN-2003-0350)
[MS/Win32-API] Lokale Privilegienerweiterung möglich (2002-09-06)
Lokal am System angemeldete Benutzer können über Dienste, die in einem anderen Sicherheitskontext ausgeführt werden (z.B. mit SYSTEM-Rechten) und eine Interaktion des Benutzers vorsehen, ihre Privilegien erweitern.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

https://cert.uni-stuttgart.de/ticker/article.php?mid=1035