Zwei Pufferüberlaufschwachstellen im Remote Procedure Call Server Service (RPCSS) ermöglichen durch das Senden speziell formulierter Requests die Kompromittierung des beherbergenden Rechnersystems. Eine Denial-of-Service-Schwachstelle führt zur Nichtverfügbarkeit des RPC-Dienstes.

Betroffene Systeme

• Microsoft Windows NT Workstation 4.0
• Microsoft Windows NT Server 4.0
• Microsoft Windows NT Server 4.0, Terminal Server Edition
• Microsoft Windows 2000
• Microsoft Windows XP
• Microsoft Windows Server 2003

Nicht betroffene Systeme

• Microsoft Windows Millennium Edition

Einfallstor
Es ist davon auszugehen, daß folgende Einfallstore sich für Angriffe eignen:

• UDP-Port 135
• UDP-Port 137
• UDP-Port 138
• UDP-Port 445
• TCP-Port 135
• TCP-Port 139
• TCP-Port 445
• TCP-Port 593
• TCP-Port 80 (falls CIS oder RPC über HTTP aktiviert ist)
• TCP-Port 443 (falls CIS oder RPC über HTTP aktiviert ist)

Auswirkung

1. Kompromittierung des beherbergenden Rechnersystems über eine Netzwerkverbindung
   (remote root compromise)
2. Kompromittierung des beherbergenden Rechnersystems über eine Netzwerkverbindung
   (remote root compromise)
3. Nichtverfügbarkeit des RPC-Dienstes
   (Denial of Service)

Typ der Verwundbarkeit

1. buffer overflow bug
2. buffer overflow bug
3. unbekannt

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Im RPCSS Service existieren drei Schwachstellen, von denen zwei potentiell die Ausführung beliebigen Programmcodes und die dritte einen Denial of Service-Angriff auf den RPC-Dienst ermöglichen. Keine dieser Schwachstellen ist identisch mit der im RUS-CERT-Advisory#1124 beschriebenen Schwachstelle.

Unter bestimmten Bedingungen überprüft RPCSS eingehende RPC-Nachrichten nicht korrekt. Nach erfolgreicher Etablierung einer Verbindung kann diese Schwachstelle von einem Angreifer mittels des Sendens einer speziell formulierten RPC-Nachricht an RPCSS dazu ausgenutzt werden, einen Pufferüberlauf in der darunter liegenden DCOM activation infrastructure zu provozieren. Dies kann potentiell dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des RPCSS bzw. der DCOM activation infrastructure auszuführen. Üblicherweise sind dies SYSTEM-Privilegien, so daß die erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Rechnersystems führt.

Die erfolgreiche Ausnutzung der DoS-Schwachstelle führt zur Nichtverfügbarkeit des RPC-Dienstes auf dem beherbergenden Rechnersystem.

Gegenmaßnahmen
Microsoft stellt Patches zur Verfügung:

• Windows NT Workstation
• Windows NT Server 4.0
• Windows NT Server 4.0, Terminal Server Edition
• Windows 2000
• Windows XP
• Windows XP 64 bit Edition
• Windows XP 64 bit Edition Version 2003
• Windows Server 2003
• Windows Server 2003 64 bit Edition

Das Sicherheitsupdate beinhaltet auch die Patches aus den Microsoft Security Bulletins MS03-026 und MS01-048.

Werkzeuge zur Detektion verwundbarer Hosts
Für gängige Security-Scanner wie Nessus, ISS, ... gibt es mittlerweile Plugins zur Detektion verwundbarer Hosts. Darüberhinaus gibt es z.B. folgende frei verfügbaren Werkzeuge zur Detektion verwundbarer Hosts:

• How to Use the KB 824146 Scanning Tool to Identify Host Computers That Do Not Have the 823980 (MS03-026) and the 824146 (MS03-039) Security Patches Installed (Microsoft)
• Xfrpcss - MS03-039 RPC Vulnerability Scanner (ISS)
• RPC DCOM Vulnerability Scanner and Worm Disinfection Utility (eEye)

Vulnerability ID

• CAN-2003-0715
• CAN-2003-0528
• CAN-2003-0605

Revisionen dieser Meldung

• V. 1.0 (2003-09-10)
• V. 1.1 (2003-09-12) Verweis auf Werkzeuge zur Detektion verwundbarer Hosts

Weitere Information zu diesem Thema

• Microsoft Security Bulletin MS03-039 Buffer Overrun In RPCSS Service Could Allow Code Execution (824146)

Weitere Artikel zu diesem Thema:

• [MS/Generic] DCOM/RPC-Wurm im Umlauf (Update) (2003-08-12)
  Es ist ein Wurm im Umlauf, der zur Verbreitung die Ende Juli bekanntgewordene DCOM/RPC-Schwachstelle in Microsoft Windows verwendet. Der Wurm verbreitet sich über verwundbare Windows-2000- und Windows-XP-Systeme. Viele ISPs aktivierten Filter, die die Verbreitung begrenzen, die aber eventuell Nebenwirkungen aufweisen.
• [Generic/DCE] Denial of Service Angriff durch RPC-Anfrage (Update) (2003-08-11)
  Verschiedene Distributed Computing Environment (DCE) Implementierungen weisen eine Denial of Service (DoS) Schwachstelle auf. Diese Schwachstelle wird z.B. beim Scannen nach bzgl. MS03-026 verwundbaren Microsoft Betriebssystemen nicht intendiert ausgenutzt, wodurch der DCE-Dienst bis zu einem Neustart gestört wird.
• [MS/Windows NT/2000/XP/2003] Kritische RPC-Schwachstelle (Exploitcode verfügbar) (2003-07-25)
  Der RPC-Dienst von Windows NT/2000/XP/2003 weist eine kritische Pufferüberlaufschwachstelle auf, durch die Angreifer ohne vorherige Authentifizierung mittels einer RPC-Anfrage das beherbergende Rechnersystem über eine Netzwerkverbindung kompromittieren können. Neben den ursprünglich von Microsoft genannten Einfallstoren sind weitere Angriffswege möglich. Mittlerweile ist ein Exploitcode verfügbar, der einem Angreifer eine Systemkompromittierung mittels einer Verbindung zu TCP-Port 135 erlaubt.
• [MS/Windows 2000] Weitere Schwachstelle in Windows 2000 RPC-Schnittstelle (2003-07-24)
  Der RPC-Dienst von Windows 2000 weist eine weitere Schwachstelle auf, die zumindest zu einem Denial of Service Angriff ausgenutzt werden kann.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/