Nach Angaben von Microsoft enthält die Windows XP/2000/NT Bibliothek ntdll.dll eine Pufferüberlaufschwachstelle. Diese Schwachstelle kann offenbar insbesondere gegen Microsoft IIS 5.0 Webserver zur Systemkompromittierung über eine Netzwerkverbindung ohne Authentifizierung ausgenutzt werden. Am 24.04.2003 hat Microsoft bekannt gegeben, dass auch Windows NT 4.0 von dieser Schwachstelle betroffen ist und am 28.05.2003 wurde bestätigt, dass auch Windows XP betroffen ist.

Betroffene Systeme

• Microsoft Windows 2000
• Microsoft Windows XP
• Microsoft Windows NT 4.0

Nicht betroffene Systeme

• Microsoft Windows Server 2003

Einfallstor

• HTTP-Anfrage an einen IIS 5.0 Webserver (mit WebDAV) über das Netzwerk - offenbar handelt es sich um einen überlangen URL. Windows NT 4.0 (mit IIS 4.0) und Windows XP (mit IIS 5.1) ist davon offenbar nicht betroffen
• Interaktiv am System angemeldete Benutzer können die Schwachstelle in der ntdll.dll zur lokalen Privilegienerweiterung ausnutzen.
• bislang kann nicht ausgeschlossen werden, dass es weitere Angriffsmöglichkeiten gibt

Auswirkung
Ausführung beliebigen Programmcodes (bei IIS basierten Angriffen mit SYSTEM-Privilegien)

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Nach Angaben von Microsoft enthält die Windows-Bibliothek ntdll.dll, die unter anderem von der World Wide Web Distributed Authoring and Versioning (WebDAV) Komponente des Microsoft Internet Information Servers (IIS) 5.0 verwendet wird, eine Pufferüberlaufschwachstelle. Diese Schwachstelle kann offenbar gegen Microsoft IIS 5.0 Webserver zur Systemkompromittierung ausgenutzt werden, was, diversen Angaben zur Folge, bereits geschehen ist. Da diese Windows-Bibliothek vielfach verwendet wird, sind andere Angriffsmöglichkeiten, die nicht IIS als Einfallstor benutzen, nicht ausgeschlossen. Wie Microsoft am 24.04.2003 bekannt gegeben hat, ist entgegen der ersten Angabe auch Windows NT 4.0 von dieser Schwachstelle betroffen. Am 28.05.2003 wurde ferner bekannt gegegeben, dass entgegen ersten Angaben auch Windows XP von der beschriebenen Schwachstelle betroffen ist.

Exploitcode
Es liegen Berichte vor, nach denen ein Exploitcode im Untergrund verfügbar sein soll. Ferner gibt es Pressemitteilungen, dass bereits IIS 5.0 Webserver mittels dieses Exploitcodes erfolgreich angegriffen wurden (siehe z.B: U.S. military computer attacked (MSNBC)). Die genaue Signatur dieser Angriffe (bzw. Logfileeinträge) liegen uns leider nicht vor.

Merkwürdig ist in diesem Zusammenhang die Verwirrung um mögliche Angriffe (z.B. Information darüber, welche WebDAV-Methoden die Schwachstelle ausnützen können sollen). Ferner wurde, möglicherweise bedingt durch Angriffe gegen U.S. Militär-Webserver und die bevorstehenden Ereignisse, strikte Geheimhaltung vereinbart, so dass Informationen unvollständig und teilweise widersprüchlich sind.

Am 24.03.2003 wurde ein Exploitcode veröffentlicht, der einen überlangen SEARCH-Request gegen IIS 5.0 Webserver mit WebDAV verwendet. Dies wurde vom RUS-CERT gegen Windows 2000 Server (mit SP3 ohne MS03-007) verifiziert. Angriffe mit diesem Programmcode erzeugen bei nicht erfolgreichen Angriffen folgende Logfileeintragungen:

SEARCH / -411-

Feststellen eines IIS-Webservers mit aktiviertem WebDAV

telnet <IP-Adresse> 80  

OPTIONS * HTTP/1.0

Allow: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIND, PROPPATCH, LOCK, UNLOCK, SEARCH

Workaround
Sollte es nicht möglich sein das verfügbare Sicherheitsupdate zu installieren, so zeigt das Microsoft-Advisory MS03-007 gangbare Workarounds auf:

• Deaktivierung von WebDAV (falls WebDAV nicht benötigt wird)
  • How to Disable WebDAV for IIS 5.0
    Hinweis: Die Deaktivierung von WebDAV erfordert einen Neustart des IIS (wählen sie in der "Internet Information Services" MMC "Restart IIS" bzw. Starten Sie das System neu)
• URLScan unterbindet nach Angaben von Microsoft standardmäßig die kritischen WebDAV-Anfragen über die diese Schwachstelle ausgenützt werden können soll
  • Urlscan Security Tool

Gegenmaßnahmen
Microsoft stellt ein Sicherheitsupdate für Windows 2000/NT/XP zur Verfügung:

• Microsoft Windows NT 4.0:
  • Alle Sprachversionen mit Ausnahme von NEC und Chinese - Hong Kong
  • Japanese NEC Sprachversion
  • Chinese - Hong Kong Sprachversion
• Windows NT 4.0, Terminal Server Edition:
  • Alle Sprachversionen
• Microsoft Windows 2000:
  • Alle Sprachversionen mit Ausnahme von Japanese NEC
  • Japanese NEC Sprachversion
• Microsoft Windows XP:
  • 32-bit Version
  • 64-bit Version

Vulnerability ID

• CAN-2003-0109

Weitere Information zu diesem Thema

• Microsoft Security Bulletin MS03-007 Unchecked Buffer In Windows Component Could Cause Web Server Compromise (815021)
• CERT/CC Advisory CA-2003-09 Buffer Overflow in Microsoft IIS 5.0
• Microsoft Security Advisory MS 03-007 - Problems (focus-ms Mailinglistenthread)
• RFC2518 HTTP Extensions for Distributed Authoring -- WEBDAV
• New Attack Vectors and a Vulnerability Dissection of MS03-007

Revisionen dieser Meldung

• V. 1.0 (2003-03-19)
• V. 1.1 (2003-03-20) Zum Deaktivieren von WebDAV ist ein Reboot erforderlich.
• V. 1.2 (2003-03-25) Exploitcode liegt vor
• V. 2.0 (2003-04-25) Microsoft gibt bekannt, dass auch Windows NT 4.0 betroffen ist und stellt einen Patch zur Verfügung.
• V. 3.0 (2003-05-29) Microsoft gibt bekannt, dass auch Windows XP betroffen ist und stellt einen Patch zur Verfügung.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/