Eine Pufferüberlaufschwachstelle im Plug'n'Play Dienst von Microsoft Windows ermöglicht die Remote-Ausführung von beliebigem Programmcode, die zur Erlangung von Systemprivilegien ausgenutzt werden kann.

Betroffene Systeme

• Microsoft Windows 2000
• Microsoft Windows XP Service Pack 1 (und früher)
• Microsoft Windows XP Service Pack 2
• Microsoft Windows Server 2003

Nicht betroffene Systeme

• Systeme, die mit entsprechenden Vendor-Patches zur Behebung der Schwachstelle versehen sind, die aber i.d.R. nicht die Versionsnummer ändern.

Einfallstor
Anfrage an den Plug'n'Play Dienst über das SMB-Protokoll
(tcp/139, tcp/445, sowie alle weiteren RPC Ports)

Auswirkung
Ausführen von beliebigem Programmcode (remote system compromise)

Typ der Verwundbarkeit
Pufferüberlaufschwachstelle (buffer overflow bug)

Gefahrenpotential
sehr hoch (MS Windows 2000)
mittel bis hoch (MS Windows XP und MS Windows Server 2003)

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Eine präparierte Anfrage an den Plug'n'Play Dienst von Microsoft Windows kann durch einen Pufferüberlauf zur Ausführung von beliebigem Programmcode ausgenutzt werden. Der Plug'n'Play Dienst kann beispielsweise über das SMB-Protokoll (i.d.R. tcp/139 und tcp/445) erreicht werden.

In Microsoft Windows 2000 können beliebige anonyme Angreifer aus dem Netzwerk Systemprivilegien erlangen. Neben den unten angegebenen Exploits kursieren bereits folgende Wurm-Varianten, die die Schwachstelle primär in Windows 2000 ausnutzen:

• Zotob.A
• Zotob.B

In Microsoft Windows XP SP1 kann der Angriff aus dem Netzwerk nur von authentifizierten Benutzern durchgeführt werden. In Microsoft Windows XP SP2 und Microsoft Windows Server 2003 kann der Angriff nur von Benutzern mit Administrator-Privilegien durchgeführt werden.

Exploits
Neben den oben angegebenen Wurm-Varianten, existieren bereits zwei Exploits zur Ausnutzung der Schwachstelle:

• http://www.frsirt.com/exploits/20050811.ms05_039_pnp.pm.php
• http://www.frsirt.com/exploits/20050811.MS05-039.c.php

Gegenmaßnahmen

• Die von Microsoft veröffentlichten Patches einspielen.

Vulnerability ID

• CAN-2005-1983

Weitere Information zu diesem Thema

• http://www.us-cert.gov/cas/techalerts/TA05-221A.html
• http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/