NT/2000/XP/Server 2003 Kritische Schwachstellen in RPCSS-Dienst

#1 To: Ticker@Lists.CERT.Uni-Stuttgart.DE
Subject: [MS/Windows NT/2000/XP/Server 2003] Kritische Schwachstellen in
RPCSS-Dienst

[MS/Windows NT/2000/XP/Server 2003] Kritische Schwachstellen in
RPCSS-Dienst
(2003-09-10 19:21:36.76665+02)
Quelle: http://www.microsoft.com/technet/security/bulletin/MS03-039.as
p
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-039.asp

Zwei Pufferüberlaufschwachstellen im Remote Procedure Call Server
Service (RPCSS) ermöglichen durch das Senden speziell formulierter
Requests die Kompromittierung des beherbergenden Rechnersystems. Eine
Denial-of-Service-Schwachstelle führt zur Nichtverfügbarkeit des
RPC-Dienstes.

Betroffene Systeme
* Microsoft Windows NT Workstation 4.0
* Microsoft Windows NT Server 4.0
* Microsoft Windows NT Server 4.0, Terminal Server Edition
* Microsoft Windows 2000
* Microsoft Windows XP
* Microsoft Windows Server 2003

Nicht betroffene Systeme
* Microsoft Windows Millennium Edition

Einfallstor
Es ist davon auszugehen, daß folgende Einfallstore sich für Angriffe
eignen:
* UDP-Port 135
* UDP-Port 137
* UDP-Port 138
* UDP-Port 445
* TCP-Port 135
* TCP-Port 139
* TCP-Port 445
* TCP-Port 593
* TCP-Port 80 (falls CIS oder RPC über HTTP aktiviert ist)
* TCP-Port 443 (falls CIS oder RPC über HTTP aktiviert ist)

Auswirkung
1. Kompromittierung des beherbergenden Rechnersystems über eine
Netzwerkverbindung
(remote root compromise)
2. Kompromittierung des beherbergenden Rechnersystems über eine
Netzwerkverbindung
(remote root compromise)
3. Nichtverfügbarkeit des RPC-Dienstes
(Denial of Service)

Typ der Verwundbarkeit
1. buffer overflow bug
2. buffer overflow bug
3. unbekannt

Gefahrenpotential
sehr hoch
(Hinweise zur [1]Einstufung des Gefahrenpotentials.)

Beschreibung
Im RPCSS Service existieren drei Schwachstellen, von denen zwei
potentiell die Ausführung beliebigen Programmcodes und die dritte
einen Denial of Service-Angriff auf den RPC-Dienst ermöglichen. Keiner
dieser Schwachstellen ist identisch mit der im
[2]RUS-CERT-Advisory#1124 beschriebenen Schwachstelle.

Unter bestimmten Bedingungen überprüft RPCSS eingehende RPC messages
nicht korrekt. Nach erfolgreicher Etablierung einer Verbindung kann
diese Schwachstelle von einem Angreifer mittels des Sendens einer
speziell formulierten RPC message an RPCSS dazu ausgenutzt werden,
einen Pufferüberlauf in der darunter liegenden DCOM activation
infrastructure zu provozieren. Dies kann potentiell dazu ausgenutzt
werden, beliebigen Programmcode mit den Privilegien des RPCSS bzw. der
DCOM activation infrastructure auszuführen. Üblicherweise sind dies
SYSTEM-Privilegien, so daß die erfolgreiche Ausnutzung dieser
Schwachstelle zur Kompromittierung des beherbergenden Rechnersystems
führt.

Die erfolgreiche Ausnutzung der DoS-Schwachstelle führt zur
Nichtverfügbarkeit des RPC-Dienstes auf dem beherbergenden
Rechnersystem.

Gegenmaßnahmen
Microsoft stellt Patches zur Verfügung:
* [3]Windows NT Workstation
* [4]Windows NT Server 4.0
* [5]Windows NT Server 4.0, Terminal Server Edition
* [6]Windows 2000
* [7]Windows XP
* [8]Windows XP 64 bit Edition
* [9]Windows XP 64 bit Edition Version 2003
* [10]Windows Server 2003
* [11]Windows Server 2003 64 bit Edition

Die Installation des Sicherheitsupdates erfordert einen Neustart des
Systems und kann auf Windows NT 4.0 mit Service Pack 6/6a, Windows
2000 mit Service Pack 2, 3 oder 4, Windows XP mit oder ohne Service
Pack 1 und Windows Server 2003 erfolgen.

Das Sicherheitsupdate beinhaltet auch die Patches aus den Microsoft
Security Bulletins [12]MS03-026 und [13]MS01-048.

Vulnerability ID
* [14]CAN-2003-0715
* [15]CAN-2003-0528
* [16]CAN-2003-0605

Weitere Information zu diesem Thema
* [17]Microsoft Security Bulletin MS03-039 Buffer Overrun In RPCSS
Service Could Allow Code Execution (824146)

Aktuelle Version dieses Artikels
[18]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1144

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2003 RUS-CERT, Universität Stuttgart,
[19]http://CERT.Uni-Stuttgart.DE/

References

1. http://CERT.Uni-Stuttgart.DE/ticker/charta.php#Gefaehrdungsstufen
2. https://cert.uni-stuttgart.de/ticker/article.php?mid=1124
3. http://www.microsoft.com/downloads/details.aspx?FamilyId=7EABAD74-9CA9-48F4-8DB5-CF8C188879DA&displaylang=en
4. http://www.microsoft.com/downloads/details.aspx?FamilyId=71B6135C-F957-4702-B376-2DACCE773DC0&displaylang=en
5. http://www.microsoft.com/downloads/details.aspx?FamilyId=677229F8-FBBF-4FF4-A2E9-506D17BB883F&displaylang=en
6. http://www.microsoft.com/downloads/details.aspx?FamilyId=F4F66D56-E7CE-44C3-8B94-817EA8485DD1&displaylang=en
7. http://www.microsoft.com/downloads/details.aspx?FamilyId=5FA055AE-A1BA-4D4A-B424-95D32CFC8CBA&displaylang=en
8. http://www.microsoft.com/downloads/details.aspx?FamilyId=50E4FB51-4E15-4A34-9DC3-7053EC206D65&displaylang=en
9. http://www.microsoft.com/downloads/details.aspx?FamilyId=80AB25B3-E387-441F-9B6D-84106F66059B&displaylang=en
10. http://www.microsoft.com/downloads/details.aspx?FamilyId=51184D09-4F7E-4F7B-87A4-C208E9BA4787&displaylang=en
11. http://www.microsoft.com/downloads/details.aspx?FamilyId=80AB25B3-E387-441F-9B6D-84106F66059B&displaylang=en
12. http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
13. http://www.microsoft.com/technet/security/bulletin/MS01-048.asp
14. http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0715
15. http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0528
16. http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0605
17. http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-039.asp
18. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1144
19. http://CERT.Uni-Stuttgart.DE/

----------------------------------------------------------------------

Weitere Nachrichten: http://CERT.Uni-Stuttgart.DE/ticker/
Kommentare & Kritik bitte an Autoren@Lists.CERT.Uni-Stuttgart.DE
__________
Durchsuchen --> Aussuchen --> Untersuchen

#2 http://www.eeye.com/html/Research/Advisories/AD20030910.html
Dort sind da ansätze eines Exploit zu finden, sowie der Advisories
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#3 Aus den "Ansätzen" scheint nun ein komplettes Stück Software geworden zu sein.
http://apnews.excite.com/article/20030916/D7TJP93G0.html
http://www.intern.de/news/4767.html
__________
Durchsuchen --> Aussuchen --> Untersuchen

#4 Neues Loch in Windows RPC-Dienst!

Heise News

Bitte auch die Verlinkung innerhalb der News beachteten!

Nur gut das ich so ein altes OS namens Windows98SE habe!

#5

Zitat

pcfreak postete
Nur gut das ich so ein altes OS namens Windows98SE habe!

Selbst Microsoft behauptet das die Windows 9x Schiene von Haus aus unsicher ist.
Freust du dich wirklich über ein Betriebssystem bei welchen der User=Admin ist?
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#6 @*

*looool*

Freut ihr euch wirklich ein System zu nutzen bei dem alles (inklusive Browser) zum Betriebsystem gehört Wie kann man sich überhaupt freuen so etwas zu nutzen

@poiin2000

wäre aber umständlich weil hat ja keine shell mal eben kurz als Admin anmelden wenn man Benutzer ist geht ja nicht
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#7 Hallo!

Mein Grinsen bezog sich auf die schwerwiegenden RPC/DCOM Sicherheitslücken, welche es unter Win95-ME ja gar nicht geben kann, da solche Dienste nicht vorhanden sind. Es ist schon Ironie das es nun ausgerechnet die ach so für sicher befundenen OS Win2000 und XP so getroffen hat und nicht das so unsichere Win95-ME!

Übrigens würde ich Win98SE im Home-Bereich nicht unbedingt als unsicher ansehen! Windows 2000 und XP und diese vor allem in der Pro-Version haben doch gleich haufenweise Dienste welche der Großteil der Home-User doch gar nicht braucht! Viele Dienste = viele mögliche offene Ports mit vielen potentiellen Sicherheitslücken! Die Liste der Dienste die man deaktivieren sollte/kann ist doch wohl bei kssysteme.de ellenlang!

Außerdem hat Win98(SE) eine doch schon recht gute Benutzerverwaltung, wobei man verschieden Benutzern bzw. Gruppen unterschiedliche Rechte vergeben kann! Man kann z. B. auch sehr wohl verhindern das man sich einfach so beim Hochfahren unter einem anderen Namen anmelden kann oder einfach Esc drückt! Nur wie viele wissen das hier schon?

Ich hatte das alles vor 1-2 Jahren mal so eingerichtet, nur benutze ich das Netzwerk alleine sodass sich der Aufwand nicht wirklich lohnt. Dann hatte ich es wieder gelassen...

Win98SE wird unterschätzt! Dies ist zumindest meine bescheidene Meinung.

#8 @pcfreak

soso "DOS" wird unterschätzt Also ich glaube die Wahrheit ist eher das DOS lange ausgereitzt ist in all seinen Funktionen - deswegen hat XP nen NT Kernel der jedenfalls noch weiterentwickelt werden kann und auch wird.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode