Der RPC-Dienst von Windows NT/2000/XP/2003 weist eine kritische Pufferüberlaufschwachstelle auf, durch die Angreifer ohne vorherige Authentifizierung mittels einer RPC-Anfrage das beherbergende Rechnersystem über eine Netzwerkverbindung kompromittieren können. Neben den ursprünglich von Microsoft genannten Einfallstoren sind weitere Angriffswege möglich. Mittlerweile ist ein Exploitcode verfügbar, der einem Angreifer eine Systemkompromittierung mittels einer Verbindung zu TCP-Port 135 erlaubt.

Betroffene Systeme

• Microsoft Windows NT 4.0
• Microsoft Windows NT 4.0 Terminal Services Edition
• Microsoft Windows 2000
• Microsoft Windows XP
• Microsoft Windows Server 2003

Nicht betroffene Systeme

• Microsoft Windows Millennium Edition

Einfallstor
Es ist davon auszugehen, daß folgende Einfallstore sich für Angriffe eignen.

• TCP-Port 135
• UDP-Port 135
• TCP-Port 139
• UDP-Port 139
• TCP-Port 445
• UDP-Port 445
• TCP-Port 593
• TCP-Port 80 (bei installierten "COM Internet Services", diese müssen gesondert aktiviert werden)

Auswirkung
Ausführung beliebigen Programmcodes mit SYSTEM-Privilegien
(remote system compromise)

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Microsoft Windows NT/2000/XP/2003 weist eine Pufferüberlaufschwachstelle in der Remote Procedure Call (RPC)-Komponente auf, die den Nachrichtenaustausch über TCP/IP für DCOM verarbeitet. Angreifer können diese Schwachstelle über das Netzwerk mittels einer RPC-Anfrage (über verschiedene TCP- und UDP-Ports) zur Ausführung beliebigen Programmcodes mit SYSTEM-Privilegien ausnutzen. Eine Authentifizierung ist hierfür nicht notwendig (wenn sie nicht zur Nutzung des RPC-Transportes nötig ist; bei den Ports 135/TCP und 135/UDP gibt es eine solche Sicherung nicht).

Entgegen der ersten Analyse von Microsoft, die eine wesentliche Grundlage für die erste Fassung dieser Mitteilung war, kommen als Einfallstor weitere RPC-Transportwege außer Port 135/TCP in Frage.

Workaround

• Im Microsoft-Advisory wird für Windows XP und Server 2003 beschrieben, wie DCOM abgeschaltet werden kann.
• Falls Verkehr zu den Ports 135, 139 und 445 (jeweils TCP und UDP, eventuell auch noch Port 593/TCP) gefiltert wird, kann der Kreis der Angreifer beschränkt werden.

Gegenmaßnahmen
Microsoft stellt Patches zur Verfügung:

• Windows NT 4.0 Workstation, Server
• Windows NT 4.0 Terminal Server Edition
• Windows 2000
• Windows XP 32 bit Edition
• Windows XP 64 bit Edition
• Windows Server 2003 32 bit Edition
• Windows Server 2003 64 bit Edition

Das RUS-CERT stellt ferner eine tabellarische Auflistung der verfügbaren Sicherheitsupdates für Windows NT/2000/XP unter folgenden URLs zur Verfügung:

• Windows NT:
  https://cert.uni-stuttgart.de/winnt-updates.php
• Windows 2000:
  https://cert.uni-stuttgart.de/win2000-updates.php
• Windows XP:
  http://cert.uni-stuttgart.de/os/ms/winxp-updates.php

• Microsoft Software Update Services (SUS) am Rechenzentrum der Universität Stuttgart

Exploit Code
Ein Angriffsprogramm ist öffentlich verfügbar. Es ist damit zu rechnen, dass dieses zeitnah eingesetzt wird. Ein erfolgreicher Angriff (eines ungepachten Systemes) führt zur Systemkompromittierung. Dies wurde durch das RUS-CERT verifiziert. Der verfügbare Exploitcode nutzt derzeit als Einfallstor zumindest TCP-Port 135.

Werkzeuge zur Detektion verwundbarer Hosts
Für gängige Security-Scanner wie Nessus, ISS, ... gibt es mittlerweile Plugins zur Detektion verwundbarer Hosts. Darüberhinaus gibt es z.B. folgende frei verfügbaren Werkzeuge zur Detektion verwundbarer Hosts:

• Scanms - MS03-026 RPC Vulnerability Scanner (ISS)
• doscan
• Retina RPC DCOM Vulnerability Scanner from eEye Digital Security (eEye)

Vulnerability ID

• CAN-2003-0352

Weitere Information zu diesem Thema

• Microsoft Security Bulletin MS03-026 Buffer Overrun In RPC Interface Could Allow Code Execution (823980)
• Microsoft Security Bulletin MS03-026 dt. Fassung des MS03-026
• DCOM RPC Interface
• Kommentar von Todd Sabin

Revisionen dieser Meldung

• V. 1.0 (2003-07-16)
• V. 2.0 (2003-07-18) neue Einfallstore wurden bekannt
• V. 2.1 (2003-07-18) neues Microsoft-Advisory verfügbar, Portnummern korrigiert
• V. 2.2 (2003-07-22) NT 4.0 Patch gilt auch für NT 4.0 Workstations
• V. 3.0 (2003-07-25) Es wurde ein Exploitcode veröffentlicht, der eine Kompromittierung von ungepachten Systemen erlaubt. Dies wurde durch das RUS-CERT verifiziert.
• V. 3.1 (2003-08-14) Nach Angaben von Microsoft kann der MS03-026-Patch nun doch auf Windows 2000 mit Service Pack 2 installiert werden. Weitere Links zu Patchinformationen (z.B. SUS) hinzugefügt.

Weitere Artikel zu diesem Thema:

• [MS/Windows NT/2000/XP/Server 2003] Kritische Schwachstellen in RPCSS-Dienst (2003-09-10)
  Zwei Pufferüberlaufschwachstellen im Remote Procedure Call Server Service (RPCSS) ermöglichen durch das Senden speziell formulierter Requests die Kompromittierung des beherbergenden Rechnersystems. Eine Denial-of-Service-Schwachstelle führt zur Nichtverfügbarkeit des RPC-Dienstes.
• [MS/Generic] DCOM/RPC-Wurm im Umlauf (Update) (2003-08-12)
  Es ist ein Wurm im Umlauf, der zur Verbreitung die Ende Juli bekanntgewordene DCOM/RPC-Schwachstelle in Microsoft Windows verwendet. Der Wurm verbreitet sich über verwundbare Windows-2000- und Windows-XP-Systeme. Viele ISPs aktivierten Filter, die die Verbreitung begrenzen, die aber eventuell Nebenwirkungen aufweisen.
• [Generic/DCE] Denial of Service Angriff durch RPC-Anfrage (Update) (2003-08-11)
  Verschiedene Distributed Computing Environment (DCE) Implementierungen weisen eine Denial of Service (DoS) Schwachstelle auf. Diese Schwachstelle wird z.B. beim Scannen nach bzgl. MS03-026 verwundbaren Microsoft Betriebssystemen nicht intendiert ausgenutzt, wodurch der DCE-Dienst bis zu einem Neustart gestört wird.
• [MS/Windows 2000] Weitere Schwachstelle in Windows 2000 RPC-Schnittstelle (2003-07-24)
  Der RPC-Dienst von Windows 2000 weist eine weitere Schwachstelle auf, die zumindest zu einem Denial of Service Angriff ausgenutzt werden kann.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/