[Security Hole] Windows 2000/XP Pufferüberl, Arbeitsstationsdienst

#1 Microsoft Windows 2000/XP Arbeitsstationsdienst Pufferüberlauf

Datum : 11.11.2003

Vulnerability : Microsoft Windows 2000 bis SP 4 und XP bis SP 1

Exploit : http://www.eeye.com/html/Research/Advisories/AD20031111.html

Patch : http://windowsupdate.microsoft.com

http://www.microsoft.com/technet/security/bulletin/MS03-049.asp

Microssoft Windows XP stellt eine Weiterentwicklung des professionellen Windows 2000 dar. Yuji Ukai der amerikanischen Sicherheitsfirma eEye Digital Security hat eine hochbrisante Pufferüberlauf-Schwachstelle im Arbeitsstationsdienst (engl. Workstation Service) von Microsoft Windows 2000 und XP gefunden. Ein Angreifer sieht sich so, wie auch schon beim RPC DCOM Pufferüberlauf [siehe scipID 178; http://www.scip.ch/cgi-bin/smss/showadvf.pl?id=178], in der Lage, beliebigen Programmcode über das Netzwerk auf einem verwundbaren System auszuführen. Das Vorhandensein der Schwachstelle kann mit dem Retina Network Security Scanner von eEye überprüft werden [http://www.eeye.com/html/Products/Retina/]. Microsoft wurde schon am 15. September 2003 über die Existenz der Schwachstelle informiert und hat mit einem Patch für die betroffenen Windows-Systeme reagiert. Ob das Update noch andere, bisher ungepatchte Sicherheitslücken im RPC-Dienst schliesst, ist bislang unklar. Zusätzlich oder gerade deshalb sollte überall, wo es möglich ist - vor allem gegen ungeschützte Netze wie das Internet -, Firewalling für die NetBIOS-Ports (135 bis 139 und 445) aktiviert werden. Hierzu rät sich zum Beispiel das Aktivieren der Internetverbindungsfirewall oder die Installation einer Personal Firewall wie BlackICE PC Protection [http://www.computec.ch/software/firewalling].

Das Advisory von eEye enthält genügend Informationen, um innerhalb weniger Stunden einen funktionierenden Exploit zu erstellen. Dieser wird voraussichtlich die Nachfolge des RPC DCOM Pufferüberlaufs mit all seinen Auswirkungen antreten. Mit anderen Worten ist auch hier mit einem Wurm im Stil von W32.Blaster.Worm, der verheehrende Schäden im August 2003 angerichtet hat, zu rechnen. Man sollte aus den Fehlern der letzten Wurm-Verbreitung gelernt haben und unverzüglich Gegenmassnahmen einleiten (Firewalling aktivieren und Patches einspielen). Es ist nur eine Frage von Tagen, bis das Risiko sein Maximum erreichen wird.

http://www.heise.de/security/news/meldung/41914
http://de.secunia.com/advisories/10193/

quelle : scip
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#2 To: Ticker@Lists.CERT.Uni-Stuttgart.DE
Subject: [MS/Windows 2000,XP] Pufferueberlaufschwachstelle im
Arbeitstationsdienst

[MS/Windows 2000,XP] Pufferüberlaufschwachstelle im
Arbeitstationsdienst
(2003-11-12 17:32:16.623434+01)
Quelle: http://www.microsoft.com/technet/security/bulletin/MS03-049.as
p

Der Arbeitsstationsdienst (Workstation Service) von Microsoft Windows
2000/XP weist eine Pufferüberlaufschwachstelle auf, durch die
Angreifer über eine Netzwerkverbindung das beherbergende Rechnersystem
kompromittieren können.

Betroffene Systeme
* Microsoft Windows 2000
* Microsoft Windows XP

Nicht betroffene Systeme
* Microsoft Windows NT
* Micorosft Windows Millennium Edition (Me)
* Microsoft Windows Server 2003

Einfallstor
* UDP-Ports 138, 139 und 445
* TCP-Ports 138, 139 und 445

Auswirkung
Kompromittierung des beherbergenden Rechnersystems über eine
Netzwerkverbindung
(remote root compromise)

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur [1]Einstufung des Gefahrenpotentials.)

Kontext
Der Arbeitsstationsdientst (WKSSVC.DLL) wird standardmäßig aktiviert
und ermöglicht über die NetBIOS API bzw. MS Direct Share den Zugriff
auf freigegebene Ressourcen.

Beschreibung
Der Arbeitsstationsdienst (Workstation Service) von Microsoft Windows
2000 und Windows XP weist eine Pufferüberlaufschwachstelle auf.
Angreifer können diese Schwachstelle über eine Netzwerkverbindung
ausnützen und beliebigen Programmcode mit SYSTEM-Privilegien auf dem
berherbergenden System ausführen.

Workaround
* Deaktivierung des Arbeitstationsdienst (nur für Standalone-Systeme
zu empfehlen).
Nachfolgende Dienste hängen vom Arbeitstationsdienst ab (und sind
somit nicht mehr verfügbar):
+ Alerter (Warndienst)
+ Browser (Computerbrowser)
+ Messenger (Nachrichtendienst)
+ Net Logon (Net Logon)
+ RPC Locator (RPC Locator)
Hinweis: Durch die Deaktivierung des Arbeitstationsdienst ist kein
Zugriff auf freigegebenen Ressourcen (Drucker, Netzlaufwerke, ...)
sowie Domänenauthentifizierung mehr möglich.
* Filterung der RPC-Ports (siehe Einfallstor)
+ per [2]Internet Connection Firewall (Windows XP)
+ per [3]IPSec-Richtlinien (Windows 2000/XP)
+ per [4]TCP/IP Filterung (Windows 2000)

Gegenmaßnahmen
Microsoft stellt Patches zur Verfügung:
Hinweis: Die Patch für Windows XP ist bereits Bestandteil des
Sicherheitsupdate MS03-043 (828035).
* Windows 2000:
[5]Security Update for Windows 2000: KB828749
* Windows XP (Home Edition/Professional Edition):
[6]Security Update for Microsoft Windows XP: KB828035
* Windows XP 64-Bit-Edition:
[7]Security Update for Microsoft Windows XP 64-bit Edition:
KB828035

Vulnerability ID
* [8]CAN-2003-0812

Weitere Information zu diesem Thema
* [9]Microsoft Security Bulletin MS03-049 Buffer Overrun in the
Workstation Service Could Allow Code Execution (828749)
* [10]CERT/CC Advisory CA-2003-28 Buffer Overflow in Windows
Workstation Service
* [11]eEye Digital Security Advisory AD20031111 Windows Workstation
Service Remote Buffer Overflow

Aktuelle Version dieses Artikels
[12]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1163

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2003 RUS-CERT, Universität Stuttgart,
[13]http://CERT.Uni-Stuttgart.DE/

References

1. http://CERT.Uni-Stuttgart.DE/ticker/charta.php#Gefaehrdungsstufen
2. http://www.microsoft.com/security/protect/windowsxp/firewall.asp
3. http://cert.uni-stuttgart.de/os/ms/ipsec-paketfilter.php
4. http://support.microsoft.com/default.aspx?scid=kb;en-us;309798&sd=tech
5. http://www.microsoft.com/downloads/details.aspx?FamilyId=2467FE46-D167-479C-9638-D4D79483F261&displaylang=en
6. http://www.microsoft.com/downloads/details.aspx?FamilyId=F02DA309-4B0A-4438-A0B9-5B67414C3833&displaylang=en
7. http://www.microsoft.com/downloads/details.aspx?FamilyId=2BE95254-4C65-4CA5-80A5-55FDF5AA2296&displaylang=en
8. http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0812
9. http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-049.asp
10. http://www.cert.org/advisories/CA-2003-28.html
11. http://www.eeye.com/html/Research/Advisories/AD20031111.html
12. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1163
13. http://CERT.Uni-Stuttgart.DE/

----------------------------------------------------------------------

Weitere Nachrichten: http://CERT.Uni-Stuttgart.DE/ticker/
Kommentare & Kritik bitte an Autoren@Lists.CERT.Uni-Stuttgart.DE
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3

Zitat

Die in der vergangenen Woche von Microsoft veröffentlichten Patches sollten tunlichst eingespielt werden. Das gilt insbesondere für die im Security Bulletin MS03-049 beschriebene Lücke des Workstation Service unter Windows 2000/XP. Der Workstation Service ist per Voreinstellung aktiviert und es sind bereits zwei verschiedene Codes für einen potentiellen Exploit in französischen und russischen Boards aufgetaucht. Häufig werden solche "Veröffentlichungen" von Crackern übernommen und eingesetzt.

Computer Weekly
http://www.computerweekly.com/articles/article.asp?liArticleID=126596&liFlavourID=1

Microsoft Security Bulletin MS03-049: Buffer Overrun in the Workstation Service Could Allow Code Execution (828749)
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-049.asp

Quelle: www.intern.de
__________
Durchsuchen --> Aussuchen --> Untersuchen