[MS/Windows] Schwachstelle im Server Service - Malware in Umlauf (UPDATE)
(2008-10-24 14:50:55.670658+00)
Quelle:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspxEine Schwachstelle im RPC-Dienst (Server Service) der Microsoft Betriebssysteme ab Windows 2000 kann von einem Angreifer dazu ausgenutzt werden, durch das Senden speziell präparierter RPC-Pakete beliebigen Programmcode auf dem beherbergenden System mit administrativen Privilegien auszuführen und es so zu kompromittieren. UPDATE: Mittlerweile ist Malware in Umlauf, die diese Schwachstelle ausnutzt. Es wird daher dringend empfohlen, betroffene Systeme zu aktualisieren.
Inhalt
- Betroffene Systeme
- Einfallstor
- Angriffsvoraussetzung
- Angriffsvektorklasse
- Auswirkung
- Typ der Verwundbarkeit
- Gefahrenpotential
- Beschreibung
- Gegenmaßnahmen
- Vulnerability ID
- Exploit Status
- Weitere Information zu diesem Thema
- Revisionen dieser Meldung
Betroffene Systeme
- Microsoft Windows 2000 SP4
- Windows XP SP2
- Windows XP SP3
- Windows XP Professional x64 Edition
- Windows XP Professional x64 Edition SP2
- Windows Server 2003 SP1
- Windows Server 2003 SP2
- Windows Server 2003 x64 Edition
- Windows Server 2003 x64 Edition SP2
- Windows Server 2003 SP1 für Itanium-basierte Systeme
- Windows Server 2003 SP2 für Itanium-basierte Systeme
- Windows Vista
- Windows Vista SP1
- Windows Vista x64 Edition
- Windows Vista x64 Edition SP1
- Windows Server 2008 für 32-bit Systeme
- Windows Server 2008 für x64-basierte Systeme
- Windows Server 2008 für Itanium-basierte Systeme
Einfallstor
- RPC-Paket
Angriffsvoraussetzung
- Zugriff auf ein Netzwerk über das entsprechende RPC-Pakete an ein betroffenes System gesandt werden können
(network)
Angriffsvektorklasse
- über eine Netzwerkverbindung
(remote)
Auswirkung
- Ausführung beliebigen Programmcodes mit administrativen Privilegien
(system compromise)
Typ der Verwundbarkeit
- Pufferüberlaufschwachstelle
(buffer overflow bug)
Gefahrenpotential
- sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Eine Pufferüberlaufschwachstelle in den Routinen zur Verarbeitung von RPC-Paketen des Microsoft RPC-Dienstes Server Service der Microsoft Windows Betriebssysteme (ab Windows 2000) kann von einem Angreifer dazu ausgenutzt werden, durch das Senden entsprechend präparierter RPC-Pakete beliebigen Programmcode auf dem beherbergenden System mit administrativen Privilegien auszuführen. Die erfolgreiche Ausnutzung der Schwachstelle führt zur unmittelbaren Kompromittierung des beherbergenden Systems.
Die Schwachstelle kann leicht automatisiert ausgenutzt werden, so dass zu erwarten ist, dass es sehr rasch Malware geben wird, die diese Schwachstelle zum Angriff auf verwundbare Systeme ausnutzt.
UPDATE:
Mittlerweile sind Berichte öffentlich geworden, wonach diese Schwachstelle aktiv durch zirkulierende Malware ausgenutzt wird.
Es wird daher dringend empfohlen, verwundbare Systeme mit den entsprechenden Patches zu versorgen!
Gegenmaßnahmen
- Installation der mit dem Microsoft Security Bulletin MS08-067 bereitgestellten Security Updates
Vulnerability ID
Exploit Status
- Malware, die diese Schwachstelle aktiv ausnutzt ist in Umlauf
(malware)
Revisionen dieser Meldung
- V 1.0 (2008-10-24)
- V 1.1 (2008-10-25):
- Malware in Umlauf, siehe Beschreibung und Exploit Status
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1484