Der Arbeitsstationsdienst (Workstation Service) von Microsoft Windows 2000/XP weist eine Pufferüberlaufschwachstelle auf, durch die Angreifer über eine Netzwerkverbindung das beherbergende Rechnersystem kompromittieren können.

Betroffene Systeme

• Microsoft Windows 2000
• Microsoft Windows XP

Nicht betroffene Systeme

• Microsoft Windows NT
• Micorosft Windows Millennium Edition (Me)
• Microsoft Windows Server 2003

Einfallstor

• UDP-Ports 138, 139 und 445
• TCP-Ports 138, 139 und 445

Auswirkung
Kompromittierung des beherbergenden Rechnersystems über eine Netzwerkverbindung
(remote root compromise)

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Der Arbeitsstationsdientst (WKSSVC.DLL) wird standardmäßig aktiviert und ermöglicht über die NetBIOS API bzw. MS Direct Share den Zugriff auf freigegebene Ressourcen.

Beschreibung
Der Arbeitsstationsdienst (Workstation Service) von Microsoft Windows 2000 und Windows XP weist eine Pufferüberlaufschwachstelle auf. Angreifer können diese Schwachstelle über eine Netzwerkverbindung ausnützen und beliebigen Programmcode mit SYSTEM-Privilegien auf dem berherbergenden System ausführen.

Workaround

• Deaktivierung des Arbeitstationsdienst (nur für Standalone-Systeme zu empfehlen).
  Nachfolgende Dienste hängen vom Arbeitstationsdienst ab (und sind somit nicht mehr verfügbar):
  • Alerter (Warndienst)
  • Browser (Computerbrowser)
  • Messenger (Nachrichtendienst)
  • Net Logon (Net Logon)
  • RPC Locator (RPC Locator)
  Hinweis: Durch die Deaktivierung des Arbeitstationsdienst ist kein Zugriff auf freigegebenen Ressourcen (Drucker, Netzlaufwerke, ...) sowie Domänenauthentifizierung mehr möglich.
• Filterung der RPC-Ports (siehe Einfallstor)
  • per Internet Connection Firewall (Windows XP)
  • per IPSec-Richtlinien (Windows 2000/XP)
  • per TCP/IP Filterung (Windows 2000)

Gegenmaßnahmen
Microsoft stellt Patches zur Verfügung:
Hinweis: Die Patch für Windows XP ist bereits Bestandteil des Sicherheitsupdate MS03-043 (828035).

• Windows 2000:
  Security Update for Windows 2000: KB828749
• Windows XP (Home Edition/Professional Edition):
  Security Update for Microsoft Windows XP: KB828035
• Windows XP 64-Bit-Edition:
  Security Update for Microsoft Windows XP 64-bit Edition: KB828035

Vulnerability ID

• CAN-2003-0812

Weitere Information zu diesem Thema

• Microsoft Security Bulletin MS03-049 Buffer Overrun in the Workstation Service Could Allow Code Execution (828749)
• CERT/CC Advisory CA-2003-28 Buffer Overflow in Windows Workstation Service
• eEye Digital Security Advisory AD20031111 Windows Workstation Service Remote Buffer Overflow

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/