Im Rahmen des Microsoft Security Bulletin Summary for January 2009 stellt Microsoft Patches für insgesamt drei Schwachstellen bereit, die dazu ausgenutzt werden können, das beherbergende System in einen unbenutzbaren Zustand zu versetzen sowie potentiell beliebigen Programmcode auf dem beherbergenden System auszuführen.

Inhalt

• Zusammenfassung
• Betroffene Systeme
• Einfallstor
• Angriffsvoraussetzung
• Angriffsvektorklasse
• Auswirkung
• Typ der Verwundbarkeit
• Gefahrenpotential
• Kontext
• Beschreibung
• Workaround
• Gegenmaßnahmen
• Vulnerability ID

Zusammenfassung

• CVE-2008-4834:
  

  Betroffen:	Microsoft Windows
  Einfallstor:	139/tcp, 139/udp, 445/tcp und 445/udp (SMB-Pakete)
  Angriffsvoraussetzung:	network
  Angriffsvektorklasse:	remote
  Auswirkung:	system compromise
  Typ:	Pufferüberlaufschwachstelle
  Gefahrenpotential:	sehr hoch
  Workaround:	bedingt
  Gegenmaßnahmen:	Patches
  Vulnerability ID:	CVE-2008-4834

• CVE-2008-4835:
  

  Betroffen:	Microsoft Windows
  Einfallstor:	139/tcp, 139/udp, 445/tcp und 445/udp (SMB-Pakete)
  Angriffsvoraussetzung:	network
  Angriffsvektorklasse:	remote
  Auswirkung:	system compromise
  Typ:	Pufferüberlaufschwachstelle
  Gefahrenpotential:	sehr hoch
  Workaround:	bedingt
  Gegenmaßnahmen:	Patches
  Vulnerability ID:	CVE-2008-4835

• CVE-2008-4114:
  

  Betroffen:	Microsoft Windows
  Einfallstor:	139/tcp, 139/udp, 445/tcp und 445/udp (SMB-Pakete)
  Angriffsvoraussetzung:	network
  Angriffsvektorklasse:	remote
  Auswirkung:	DoS
  Typ:	Pufferüberlaufschwachstelle
  Gefahrenpotential:	mittel
  Workaround:	bedingt
  Gegenmaßnahmen:	Patches
  Vulnerability ID:	CVE-2008-4114

Betroffene Systeme

• CVE-2008-4834:
  • Microsoft Windows 2000 SP4
  • Windows XP SP2
  • Windows XP SP3
  • Windows XP Professional x64 Edition
  • Windows XP Professional x64 Edition SP2
  • Windows Server 2003 SP1
  • Windows Server 2003 SP2
  • Windows Server 2003 x64 Edition
  • Windows Server 2003 x64 Edition SP2
  • Windows Server 2003 SP1 für Itanium-basierte Systeme
  • Windows Server 2003 SP2 für Itanium-basierte Systeme
  • Windows Vista
  • Windows Vista SP1
  • Windows Vista x64 Edition
  • Windows Vista x64 Edition SP1
  • Windows Server 2008 für 32-bit-Systeme
  • Windows Server 2008 für x64-basierte Systeme
  • Windows Server 2008 für Itanium-basierte Systeme
• CVE-2008-4835:
  • Microsoft Windows 2000 SP4
  • Windows XP SP2
  • Windows XP SP3
  • Windows XP Professional x64 Edition
  • Windows XP Professional x64 Edition SP2
  • Windows Server 2003 SP1
  • Windows Server 2003 SP2
  • Windows Server 2003 x64 Edition
  • Windows Server 2003 x64 Edition SP2
  • Windows Server 2003 SP1 für Itanium-basierte Systeme
  • Windows Server 2003 SP2 für Itanium-basierte Systeme
  • Windows Vista
  • Windows Vista SP1
  • Windows Vista x64 Edition
  • Windows Vista x64 Edition SP1
  • Windows Server 2008 für 32-bit-Systeme
  • Windows Server 2008 für x64-basierte Systeme
  • Windows Server 2008 für Itanium-basierte Systeme
• CVE-2008-4114:
  • Microsoft Windows 2000 SP4
  • Windows XP SP2
  • Windows XP SP3
  • Windows XP Professional x64 Edition
  • Windows XP Professional x64 Edition SP2
  • Windows Server 2003 SP1
  • Windows Server 2003 SP2
  • Windows Server 2003 x64 Edition
  • Windows Server 2003 x64 Edition SP2
  • Windows Server 2003 SP1 für Itanium-basierte Systeme
  • Windows Server 2003 SP2 für Itanium-basierte Systeme
  • Windows Vista
  • Windows Vista SP1
  • Windows Vista x64 Edition
  • Windows Vista x64 Edition SP1
  • Windows Server 2008 für 32-bit-Systeme
  • Windows Server 2008 für x64-basierte Systeme
  • Windows Server 2008 für Itanium-basierte Systeme

Einfallstor

• CVE-2008-4834:
  SMB-Pakete, Ports 139/tcp, 139/udp, 445/tcp und 445/udp
• CVE-2008-4835:
  SMB-Pakete, Ports 139/tcp, 139/udp, 445/tcp und 445/udp
• CVE-2008-4114:
  SMB-Pakete, Ports 139/tcp, 139/udp, 445/tcp und 445/udp

Angriffsvoraussetzung

• CVE-2008-4834:
  Zugriff auf eine Netzwerkverbindung über die entsprechende SMB-Pakete an ein betroffenes System gesandt werden können
  (network)
• CVE-2008-4835:
  Zugriff auf eine Netzwerkverbindung über die entsprechende SMB-Pakete an ein betroffenes System gesandt werden können
  (network)
• CVE-2008-4114:
  Zugriff auf eine Netzwerkverbindung über die entsprechende SMB-Pakete an ein betroffenes System gesandt werden können
  (network)

Angriffsvektorklasse

• CVE-2008-4834:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-4835:
  über eine Netzwerkverbindung
  (remote)
• CVE-2008-4114:
  über eine Netzwerkverbindung
  (remote)

Auswirkung

• CVE-2008-4834:
  Ausführung beliebigen Programmcodes auf dem beherbergenden System mit administrativen Privilegien
  (system compromise)
• CVE-2008-4835:
  Ausführung beliebigen Programmcodes auf dem beherbergenden System mit administrativen Privilegien
  (system compromise)
• CVE-2008-4114:
  Versetzen des beherbergenden Systems in einen unbenutzbaren Zustand
  (denial of service)

Typ der Verwundbarkeit

• CVE-2008-4834:
  Pufferüberlaufschwachstelle
  (buffer overflow bug)
• CVE-2008-4835:
  Pufferüberlaufschwachstelle
  (buffer overflow bug)
• CVE-2008-4114:
  Pufferüberlaufschwachstelle
  (buffer overflow bug)

Gefahrenpotential

• CVE-2008-4834:
  sehr hoch
• CVE-2008-4835:
  sehr hoch
• CVE-2008-4114:
  mittel

Kontext

Beschreibung

• CVE-2008-4834:
  Eine Schwachstelle in der SMB-Implementierung der o.g.) Microsoft Windows Betriebssysteme enthält eine Schwachstelle die von einem Angreifer dazu ausgenutzt werden kann, beliebigen Programmcode mit den Privilegien der Prozesse auf dem beherbergenden System auszuführen, die SMB-Pakete und -Nachrichten verarbeiten. Dies sind i.A. administrative Privilegien, so dass eine erfolgreiche Ausnutzung der Schwachstelle unmittelbar zur Kompromittierung des beherbergenden Systems führt. Um die Schwachstelle erfolgreich ausnutzen zu können, ist es erforderlich, dass der Angreifer in der Lage ist, entsprechend präparierte SMB-Pakete an ein verwundbares System zu senden.

  Insbesondere Systeme, die Netzlaufwerke über Firewalls hinweg zur Verfügung stellen, sind durch diese Schwachstelle extrem gefährdet!

• CVE-2008-4835:
  Eine Schwachstelle in der SMB-Implementierung der o.g.) Microsoft Windows Betriebssysteme enthält eine Schwachstelle die von einem Angreifer dazu ausgenutzt werden kann, beliebigen Programmcode mit den Privilegien der Prozesse auf dem beherbergenden System auszuführen, die SMB-Pakete und -Nachrichten verarbeiten. Dies sind i.A. administrative Privilegien, so dass eine erfolgreiche Ausnutzung der Schwachstelle unmittelbar zur Kompromittierung des beherbergenden Systems führt. Um die Schwachstelle erfolgreich ausnutzen zu können, ist es erforderlich, dass der Angreifer in der Lage ist, entsprechend präparierte SMB-Pakete an ein verwundbares System zu senden.

  Insbesondere Systeme, die Netzlaufwerke über Firewalls hinweg zur Verfügung stellen, sind durch diese Schwachstelle extrem gefährdet!

• CVE-2008-4114:
  Eine Schwachstelle in der SMB-Implementierung der o.g.) Microsoft Windows Betriebssysteme enthält eine Schwachstelle die von einem Angreifer dazu ausgenutzt werden kann, das beherbergende System in einen Um die Schwachstelle erfolgreich ausnutzen zu können, ist es erforderlich, dass der Angreifer in der Lage ist, entsprechend präparierte SMB-Pakete an ein verwundbares System zu senden.

  Insbesondere Systeme, die Netzlaufwerke über Firewalls hinweg zur Verfügung stellen, sind durch diese Schwachstelle besonders gefährdet!

Workaround

• CVE-2008-4834:
  
  • Einschränkung der Zugriffsmöglichkeiten auf einen SMB-File- oder Druck-Server mittels Firewalls auf das absolute Minimum.
    Insbesondere sollten in keinem Fall Datei- oder Druck-Dienste über die Netzgrenzen einer Organisation hinaus exportiert werden, um sie z.B. über das Internet externen Mitarbeitern zur Verfügung zu stellen. Solche Lösungen müssen als extrem leichtsinnig eingestuft werden.
  Diese Maßnahme behebt die Schwachstelle nicht, sie schränkt lediglich den kreis potentieller Angreifer ein.
• CVE-2008-4835:
  
  • Einschränkung der Zugriffsmöglichkeiten auf einen SMB-File- oder Druck-Server mittels Firewalls auf das absolute Minimum.
    Insbesondere sollten in keinem Fall Datei- oder Druck-Dienste über die Netzgrenzen einer Organisation hinaus exportiert werden, um sie z.B. über das Internet externen Mitarbeitern zur Verfügung zu stellen. Solche Lösungen müssen als extrem leichtsinnig eingestuft werden.
  Diese Maßnahme behebt die Schwachstelle nicht, sie schränkt lediglich den kreis potentieller Angreifer ein.
• CVE-2008-4114:
  
  • Einschränkung der Zugriffsmöglichkeiten auf einen SMB-File- oder Druck-Server mittels Firewalls auf das absolute Minimum.
    Insbesondere sollten in keinem Fall Datei- oder Druck-Dienste über die Netzgrenzen einer Organisation hinaus exportiert werden, um sie z.B. über das Internet externen Mitarbeitern zur Verfügung zu stellen. Solche Lösungen müssen als extrem leichtsinnig eingestuft werden.
  Diese Maßnahme behebt die Schwachstelle nicht, sie schränkt lediglich den kreis potentieller Angreifer ein.

Gegenmaßnahmen

• CVE-2008-4834:
  Installation der mit dem Microsoft Bulletin MS09-001 bereitgestellten Updates
• CVE-2008-4835:
  Installation der mit dem Microsoft Bulletin MS09-001 bereitgestellten Updates
• CVE-2008-4114:
  Installation der mit dem Microsoft Bulletin MS09-001 bereitgestellten Updates

Vulnerability ID

• CVE-2008-4834
• CVE-2008-4835
• CVE-2008-4114

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/