Die Abstract Syntax Notation 1 (ASN.1)-Bibliothek von Microsoft Windows NT/2000/XP und Server 2003 weist eine Pufferüberlaufschwachstelle auf, über die Angreifer beliebigen Programmcode mit SYSTEM-Privilegien ausführen können.
Es wurden erste Exploit Codes zur Ausnutzung dieser Schwachstelle veröffentlicht.

Betroffene Systeme

• Microsoft Windows NT 4.0
• Microsoft Windows 2000
• Microsoft Windows XP
• Microsoft Windows Server 2003

Einfallstor
Einfallstore sind alle netzbasierten Dienste die direkt oder indirekt ASN.1-kodierte Daten verarbeiten oder transportieren (siehe Kontext).

Auswirkung
Ausführung beliebigen Programmcodes mit SYSTEM-Privilegien
(remote system compromise)

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Exploit Code
Es wurde Exploit Code zur Ausnutzung dieser Schwachstelle veröffentlicht. Der Code ist derzeit in der Lage, über eine NetBIOS-Verbindung die LSASS.EXE zum Absturz zu bringen (das System führt bei Windows 2000 nach einer Minute automatisch einen Neustart durch). Gegen Windows 2000 Server und Windows XP Prof. wurde dies durch das RUS-CERT verifiziert.

Es muss damit gerechnet werden, dass zeitnah Exploit Code verfügbar sein wird, der es einem Angreifer erlaubt, ein ungeschütztes System zu kompromittieren (remote system compromise).

• UNIRAS Brief 75/04 - NISCC - Exploit for Windows ASN.1 Vulnerabilities

Soweit bekannt, kann der Code derzeit für Angriffe gegen

• Windows 2000
• Windows XP
• Windows Server 2003

Kontext
Die Abstract Syntax Notation 1 (ASN.1) spezifiziert, wie beliebige Daten in strukturierter Form abgelegt werden können. Sogenannte Encoding Rules legen fest, wie diese Daten in einen Strom von Bytes umzuwandeln sind. Dieser Bytestrom kann beispielsweise über ein Rechnernetz zu einem anderen System übertragen werden, welches den Bytestrom dekodieren kann und somit Zugriff auf die ursprünglichen, strukturierten Daten erhält.

ASN.1 wird von vielen Standards eingesetzt, um portable Datenaustauschformate zu definieren. Zu den Protokollen im Windows-Umfeld, die direkt oder indirekt ASN.1 verwenden, gehören:

• X.400-Messanging (implementiert durch Microsoft Exchange)
• X.500-Verzeichnisdienste (LDAP und Active Directory)
• X.509-Zertifikate, dadurch mittelbar betroffen:
  • SSL/TLS bei HTTP und IMAP (z.B. IIS, Internet Explorer)
  • SMTP AUTH, SASL
  • S/MIME (z.B. Outlook und Outlook Express)
  • Kerberos-Authentifizierung
  • NTLM-v2-Authentifizierung (für die meisten Windows-Dienste wie SMB)
  • IPSec (und IKE)
• weitere Protokolle von Microsoft und Drittherstellern

Diese Dienste werden sowohl auf Servern und Clients unter Verwendung derselben ASN.1-Bibliothek implementiert.

Beschreibung
Die ASN.1-Bibliothek (MSASN1.DLL), welche von zahlreichen Windows-Komponenten verwendet wird (siehe Kontext), weist eine Pufferüberlaufschwachstelle auf. Diese Bibliothek wird teilweise mit SYSTEM-Privilegien ausgeführt, wodurch eine Systemkompromittierung möglich ist.

Von der Schwachstelle sind neben Server-Diensten auch Clients betroffen, die eine der Authentifizierungsfunktionen (wie NTLMv2) oder eines der Verschlüsselungsprotokolle (z.B. TLS) nutzen.

Hinweis:
Hostbasierte Filter mittels IPsec-Richtlinien schützen verwundbare Systeme nicht.

Gegenmaßnahmen
Microsoft stellt Patches zur Verfügung:

• Windows NT 4.0 Workstation
• Windows NT 4.0 Server
• Windows NT 4.0 Terminal Server Edition
• Windows 2000
• Windows XP
• Windows Server 2003

• Windows XP 64-Bit Edition
• Windows XP 64-Bit Edition Version 2003
• Windows Server 2003 64-Bit Edition

Vulnerability ID

• CAN-2003-0818

Revisionen dieser Meldung

• V 1.0 (2004-02-10)
• V 2.0 (2004-02-14) Exploit Code verfügbar
• V 2.1 (2004-02-15) Verifizierung des DoS Exploit Code

Weitere Information zu diesem Thema

• Microsoft Security Bulletin MS04-007 ASN.1 Vulnerability Could Allow Code Execution (828028)
• Microsoft ASN.1 Library Length Overflow Heap Corruption (eEye)
• Microsoft ASN.1 Library Bit String Heap Corruption (eEye)
• Microsoft Knowledge Base Article - 252648 XGEN: A Brief Introduction to ASN.1 and BER

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/