Der RPC-Dienst von Windows 2000 weist eine weitere Schwachstelle auf, die zumindest zu einem Denial of Service Angriff ausgenutzt werden kann.

Betroffene Systeme

• Microsoft Windows 2000

Nicht betroffene Systeme

• Microsoft Windows XP
• Microsoft Windows Server 2003

Einfallstor

• RPC-Anfrage (TCP-Port 135)
• ggf. sind weitere Einfallstore möglich

Auswirkung
Zumindest Denial of Service (DoS), wodurch der RPC-Dienst bis zu einem Neustart nicht mehr zur Verfügung steht. Möglicherweise ist auch die Ausführung beliebigen Programmcodes mit SYSTEM-Privilegien möglich.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch (sollte die Ausführung beliebigen Programmcodes möglich sein)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Der RPC-Dienst von Windows 2000 weist eine weitere Schwachstelle auf, durch die Angreifer mittels einer Verbindung zu TCP-Port 135 zumindest einen Absturz des RPC-Dienstes (svchost.exe) provozieren können. Derzeit ist noch unklar, ob diese Schwachstelle über weitere Einfallstore ausgenutzt werden kann und ob ggf. drastischere Auswirkungen (z.B. Ausführung beliebigen Programmcodes mit SYSTEM-Privilegien) möglich sind.

Diese Schwachstelle ist offenbar unabhängig von der im Microsoft-Advisory MS03-026 beschriebenen Schwachstelle, über die das RUS-CERT in der Meldung [MS/Windows NT/2000/XP/2003] Kritische RPC-Schnittstelle (neue Einfallstore) berichtet hat.

Workaround

• Filterung eingehender Verbindungen (insbesondere für TCP-Port 135) um die Zahl der möglichen Angreifer ggf. einzuschränken.
• Deaktivierung von DCOM (was eine Betreibseinschränkung darstellen kann)
  • Starten sie das Programm %systemroot%\system32\DCOMCNFG.EXE und Deaktivieren auf der Register-Karte "Default Properties" den Punkt "Enable Distributed COM on this computer"

Gegenmaßnahmen
Bislang liegt kein Patch von Microsoft vor, mit einem Update wird jedoch zeitnah gerechnet.

Vulnerability ID

• liegt bislang nicht vor

Weitere Artikel zu diesem Thema:

• [MS/Windows NT/2000/XP/Server 2003] Kritische Schwachstellen in RPCSS-Dienst (2003-09-10)
  Zwei Pufferüberlaufschwachstellen im Remote Procedure Call Server Service (RPCSS) ermöglichen durch das Senden speziell formulierter Requests die Kompromittierung des beherbergenden Rechnersystems. Eine Denial-of-Service-Schwachstelle führt zur Nichtverfügbarkeit des RPC-Dienstes.
• [MS/Generic] DCOM/RPC-Wurm im Umlauf (Update) (2003-08-12)
  Es ist ein Wurm im Umlauf, der zur Verbreitung die Ende Juli bekanntgewordene DCOM/RPC-Schwachstelle in Microsoft Windows verwendet. Der Wurm verbreitet sich über verwundbare Windows-2000- und Windows-XP-Systeme. Viele ISPs aktivierten Filter, die die Verbreitung begrenzen, die aber eventuell Nebenwirkungen aufweisen.
• [Generic/DCE] Denial of Service Angriff durch RPC-Anfrage (Update) (2003-08-11)
  Verschiedene Distributed Computing Environment (DCE) Implementierungen weisen eine Denial of Service (DoS) Schwachstelle auf. Diese Schwachstelle wird z.B. beim Scannen nach bzgl. MS03-026 verwundbaren Microsoft Betriebssystemen nicht intendiert ausgenutzt, wodurch der DCE-Dienst bis zu einem Neustart gestört wird.
• [MS/Windows NT/2000/XP/2003] Kritische RPC-Schwachstelle (Exploitcode verfügbar) (2003-07-25)
  Der RPC-Dienst von Windows NT/2000/XP/2003 weist eine kritische Pufferüberlaufschwachstelle auf, durch die Angreifer ohne vorherige Authentifizierung mittels einer RPC-Anfrage das beherbergende Rechnersystem über eine Netzwerkverbindung kompromittieren können. Neben den ursprünglich von Microsoft genannten Einfallstoren sind weitere Angriffswege möglich. Mittlerweile ist ein Exploitcode verfügbar, der einem Angreifer eine Systemkompromittierung mittels einer Verbindung zu TCP-Port 135 erlaubt.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/