[Security Hole] Schwachstelle in RPC-Schnittstelle / Port 135

#1

Zitat

To: Ticker@Lists.CERT.Uni-Stuttgart.DE
Subject: [MS/Windows 2000] Weitere Schwachstelle in Windows 2000
RPC-Schnittstelle

[MS/Windows 2000] Weitere Schwachstelle in Windows 2000
RPC-Schnittstelle
(2003-07-24 09:30:10.705785+02)
Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2003/07/msg00254.
html

Der RPC-Dienst von Windows 2000 weist eine weitere Schwachstelle auf,
die zumindest zu einem Denial of Service Angriff ausgenutzt werden
kann.

Betroffene Systeme
* Microsoft Windows 2000

Nicht betroffene Systeme
* Microsoft Windows XP
* Microsoft Windows Server 2003

Einfallstor
* RPC-Anfrage (TCP-Port 135)
* ggf. sind weitere Einfallstore möglich

Auswirkung
Zumindest Denial of Service (DoS), wodurch der RPC-Dienst bis zu einem
Neustart nicht mehr zur Verfügung steht. Möglicherweise ist auch die
Ausführung beliebigen Programmcodes mit SYSTEM-Privilegien möglich.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch (sollte die Ausführung beliebigen Programmcodes möglich
sein)
(Hinweise zur [1]Einstufung des Gefahrenpotentials.)

Beschreibung
Der RPC-Dienst von Windows 2000 weist eine weitere Schwachstelle auf,
durch die Angreifer mittels einer Verbindung zu TCP-Port 135 zumindest
einen Absturz des RPC-Dienstes (svchost.exe) provozieren können.
Derzeit ist noch unklar, ob diese Schwachstelle über weitere
Einfallstore ausgenutzt werden kann und ob ggf. drastischere
Auswirkungen (z.B. Ausführung beliebigen Programmcodes mit
SYSTEM-Privilegien) möglich sind.

Diese Schwachstelle ist offenbar unabhängig von der im
Microsoft-Advisory [2]MS03-026 beschriebenen Schwachstelle, über die
das RUS-CERT in der Meldung [3][MS/Windows NT/2000/XP/2003] Kritische
RPC-Schnittstelle (neue Einfallstore) berichtet hat.
Es wurde bereits ein Denial of Service-Exploitcode veröffentlicht und
durch das RUS-CERT verifiziert.

Workaround
* Filterung eingehender Verbindungen (insbesondere für TCP-Port 135)
um die Zahl der möglichen Angreifer ggf. einzuschränken.
* Deaktivierung von DCOM (was eine Betreibseinschränkung darstellen
kann)
+ Starten sie das Programm %systemroot%\system32\DCOMCNFG.EXE
und Deaktivieren auf der Register-Karte "Default Properties"
den Punkt "Enable Distributed COM on this computer"

Gegenmaßnahmen
Bislang liegt kein Patch von Microsoft vor, mit einem Update wird
jedoch zeitnah gerechnet.

Vulnerability ID
* liegt bislang nicht vor

Aktuelle Version dieses Artikels
[4]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1127

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2003 RUS-CERT, Universität Stuttgart,
[5]http://CERT.Uni-Stuttgart.DE/

References

1. http://CERT.Uni-Stuttgart.DE/ticker/charta.php#Gefaehrdungsstufen
2. http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
3. http://cert.uni-stuttgart.de/ticker/article.php?mid=1124
4. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1127
5. http://CERT.Uni-Stuttgart.DE/

----------------------------------------------------------------------

Weitere Nachrichten: http://CERT.Uni-Stuttgart.DE/ticker/
Kommentare & Kritik bitte an Autoren@Lists.CERT.Uni-Stuttgart.DE

Mehr zu RPC/ Port 135 und Windows-Systemdienste :
http://board.protecus.de/t1469.htm
http://board.protecus.de/t610.htm
__________
Durchsuchen --> Aussuchen --> Untersuchen

#2

Zitat

To: Ticker@Lists.CERT.Uni-Stuttgart.DE
Subject: [MS/Windows NT/2000/XP/2003] Kritische RPC-Schnittstelle
(Exploitcode verfuegbar)

[MS/Windows NT/2000/XP/2003] Kritische RPC-Schnittstelle (Exploitcode
verfügbar)
(2003-07-25 21:29:29.494481+02)
Quelle: http://www.microsoft.com/technet/security/bulletin/MS03-026.as
p

Der RPC-Dienst von Windows NT/2000/XP/2003 weist eine kritische
Pufferüberlaufschwachstelle auf, durch die Angreifer ohne vorherige
Authentifizierung mittels einer RPC-Anfrage das beherbergende
Rechnersystem über eine Netzwerkverbindung kompromittieren können.
Neben den ursprünglich von Microsoft genannten Einfallstoren sind
weitere Angriffswege möglich. Mittlerweile ist ein Exploitcode
verfügbar, der einem Angreifer eine Systemkompromittierung mittels
einer Verbindung zu TCP-Port 135 erlaubt.

Betroffene Systeme
* Microsoft Windows NT 4.0
* Microsoft Windows NT 4.0 Terminal Services Edition
* Microsoft Windows 2000
* Microsoft Windows XP
* Microsoft Windows Server 2003

Frühere Versionen werden von Microsoft nicht mehr unterstützt und sind
möglicherweise ebenfalls von dieser Schwachstelle betroffen.

Nicht betroffene Systeme
* Microsoft Windows Millennium Edition

Einfallstor
Es ist davon auszugehen, daß folgende Einfallstore sich für Angriffe
eignen.
* TCP-Port 135
* UDP-Port 135
* TCP-Port 139
* UDP-Port 139
* TCP-Port 445
* UDP-Port 445
* TCP-Port 593
* TCP-Port 80 (bei installierten "COM Internet Services", diese
müssen gesondert aktiviert werden)

Auswirkung
Ausführung beliebigen Programmcodes mit SYSTEM-Privilegien
(remote system compromise)

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur [1]Einstufung des Gefahrenpotentials.)

Beschreibung
Microsoft Windows NT/2000/XP/2003 weist eine
Pufferüberlaufschwachstelle in der [2]Remote Procedure Call
(RPC)-Komponente auf, die den Nachrichtenaustausch über TCP/IP für
[3]DCOM verarbeitet. Angreifer können diese Schwachstelle über das
Netzwerk mittels einer RPC-Anfrage (über verschiedene TCP- und
UDP-Ports) zur Ausführung beliebigen Programmcodes mit
SYSTEM-Privilegien ausnutzen. Eine Authentifizierung ist hierfür nicht
notwendig (wenn sie nicht zur Nutzung des RPC-Transportes nötig ist;
bei den Ports 135/TCP und 135/UDP gibt es eine solche Sicherung
nicht).

Entgegen der ersten Analyse von Microsoft, die eine wesentliche
Grundlage für die erste Fassung dieser Mitteilung war, kommen als
Einfallstor weitere RPC-Transportwege außer Port 135/TCP in Frage.

Workaround
* Im Microsoft-Advisory wird für Windows XP und Server 2003
beschrieben, wie DCOM abgeschaltet werden kann.
* Falls Verkehr zu den Ports 135, 139 und 445 (jeweils TCP und UDP,
eventuell auch noch Port 593/TCP) gefiltert wird, kann der Kreis
der Angreifer beschränkt werden.

Gegenmaßnahmen
Microsoft stellt Patches zur Verfügung:
* [4]Windows NT 4.0 Workstation, Server
* [5]Windows NT 4.0 Terminal Server Edition
* [6]Windows 2000
* [7]Windows XP 32 bit Edition
* [8]Windows XP 64 bit Edition
* [9]Windows Server 2003 32 bit Edition
* [10]Windows Server 2003 64 bit Edition

Die Installation des Sicherheitsupdates erfordert einen Neustart des
Systems und kann auf Windows NT 4.0 mit Service Pack 6a, Windows NT
4.0 Terminal Server mit Service Pack 6, Windows 2000 mit Service Pack
3 oder 4, Windows XP mit oder ohne Service Pack 1 und Windows Server
2003 erfolgen.

Exploit Code
Ein Angriffsprogramm ist öffentlich verfügbar. Es ist damit zu
rechnen, dass dieses zeitnah eingesetzt wird. Ein erfolgreicher
Angriff (eines ungepachten Systemes) führt zur Systemkompromittierung.
Dies wurde durch das RUS-CERT verifiziert. Der verfügbare Exploitcode
nutzt derzeit als Einfallstor zumindest TCP-Port 135.

Vulnerability ID
* [11]CAN-2003-0352

Weitere Information zu diesem Thema
* [12]Microsoft Security Bulletin MS03-026 Buffer Overrun In RPC
Interface Could Allow Code Execution (823980)
* [13]Microsoft Security Bulletin MS03-026 dt. Fassung des MS03-026
* [14]DCOM RPC Interface
* [15]Kommentar von Todd Sabin

Revisionen dieser Meldung
* V. 1.0 (2003-07-16)
* V. 2.0 (2003-07-18) neue Einfallstore wurden bekannt
* V. 2.1 (2003-07-18) neues Microsoft-Advisory verfügbar,
Portnummern korrigiert
* V. 2.2 (2003-07-22) NT 4.0 Patch gilt auch für NT 4.0 Workstations
* V. 3.0 (2003-07-25) Es wurde ein Exploitcode veröffentlicht, der
eine Kompromittierung von ungepachten Systemen erlaubt. Dies wurde
durch das RUS-CERT verifiziert.

Aktuelle Version dieses Artikels
[16]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1124

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2003 RUS-CERT, Universität Stuttgart,
[17]http://CERT.Uni-Stuttgart.DE/

References

1. http://CERT.Uni-Stuttgart.DE/ticker/charta.php#Gefaehrdungsstufen
2. http://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/how_rpc_works.asp
3. http://www.microsoft.com/com/tech/dcom.asp
4. http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=en
5. http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en
6. http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=en
7. http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en
8. http://microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en
9. http://microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=en
10. http://microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en
11. http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0352
12. http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp
13. http://technet.microsoft.at/news_showpage.asp?newsid=9158&secid=1488
14. http://lsd-pl.net/files/get?WINDOWS/win32_dcom
15. http://CERT.Uni-Stuttgart.DE/archive/bugtraq/2003/07/msg00238.html
16. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1124
17. http://CERT.Uni-Stuttgart.DE/

----------------------------------------------------------------------

Weitere Nachrichten: http://CERT.Uni-Stuttgart.DE/ticker/
Kommentare & Kritik bitte an Autoren@Lists.CERT.Uni-Stuttgart.DE

__________
Durchsuchen --> Aussuchen --> Untersuchen