[MS/Windows 2000] DoS gegen Windows 2000
(2002-04-18 18:28:37+00)
Quelle:
http://cert.Uni-Stuttgart.DE/archive/bugtraq/2002/04/msg00225.htmlDurch speziell formulierte TCP-Pakete an Microsoft Windows 2000 Systeme auf Port 445 wird die CPU zu 100% ausgelastet.
Betroffene Systeme
- Microsoft Windows 2000
Einfallstor
Speziell formulierte Pakete an TCP-Port 445
Auswirkung
Denial of Service (DoS)
Typ der Verwundbarkeit
Es liegt derzeit nicht genügend Information vor.
Gefahrenpotential
niedrig bis mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Durch speziell formulierte Pakete an den microsoft-ds Port (TCP 445) wird die CPU des beherbergenden Rechnersystems zu 100% ausgelastet und der verfügbare Speicher beansprucht. Nach Angaben von Microsoft "erholt" sich das System nach einigen Minuten, falls der Angriff nicht fortgesetzt wird.
Es wird berichtet, daß ein kontinuierlicher Datenstrom von 10k Null-Zeichen 100% CPU-Auslastung (durch den LANMAN-Dienst) erzeugt.
Workaround
Microsoft empfiehlt in Q320751:
- Falls NetBIOS nicht benötigt wird sollte NetBIOS (über TCP/IP) deaktiviert werden:
START|Settings|Network and Dial-up Connection- rechtsklick auf
Local Area Connection - Auswahl von "Properties"
- Auswahl von "Internet Protocol (TCP/IP)", "Properties", "Advanced"
- Auswahl des "Wins"-Registerblattes und Auswahl von "Disable NetBIOS over TCP/IP"
- Auswahl von "Ok"
- Definition (mittels
regedit) der "MaxWorkItems"- Start des
Regedt32.exe - Auswahl von "Properties" im Registry-Schlüssel
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\ - Im "Edit"-Menu "Add Value" auswählen
MaxWorkItemseingeben und als TypREG_DWORDauswählen und mit "Ok" bestätigen- Den Wert anhand folgender Information festlegen:
1024für Computer mit mehr als 2 GB Hauptspeicher512für Computer mit 512 MB - 2 GB Hauptspeicher256für Computer mit weniger als 512 MB Hauptspeicher
- Start des
Gegenmaßnahmen
Bislang liegt kein Patch vor.
Weitere Information zu diesem Thema
- Q320751 Denial of Service Attack on Port 445 May Cause Excessive CPU Use
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=791