#1
Am 14. August informierte Microsoft über eine Sicherheitslücke im Network Connection Manager (NCM) berichtet. Der NCM bietet eine Kontrollmechanismus für alle Netzwerkverbindungen (auch DFÜ) auf einem System. Eine Funktion des NCM ruft bei jeder Herstellung einer Netzverbindung eine bestimmte Routine auf. Normalerweise sollte dieser Handler im Sicherheits-Kontext des angemeldeten Nutzer laufen. Durch eine Lücke in diesem System soll es möglich sein, daß der Handler im Kontext des Local-System ausgeführt wird. Dies soll angeblich nur durch einen sehr komplizierten Prozess möglich sein. Ein Angreifer der diese Lücke ausnutzt, kann einen beliebigen Code als Handler definieren, der dann bei der Herstellung einer Netzverbindung mit den erhöhten Sicherheitsrechten ausgeführt wird.
Diese Lücke kann nur von Angreifer genutzt werden, die sich an dem System interaktiv anmelden dürfen. Dies betrifft Workstations und Terminal Server. Microsoft empfiehlt, die interaktive Anmeldung an wichtigen Systemen zu verbieten. Des Weiteren würde ein Patch zur Verfügung gestellt:
Der NCM bietet eine Kontrollmechanismus für alle Netzwerkverbindungen (auch DFÜ) auf einem System. Eine Funktion des NCM ruft bei jeder Herstellung einer Netzverbindung eine bestimmte Routine auf. Normalerweise sollte dieser Handler im Sicherheits-Kontext des angemeldeten Nutzer laufen. Durch eine Lücke in diesem System soll es möglich sein, daß der Handler im Kontext des Local-System ausgeführt wird. Dies soll angeblich nur durch einen sehr komplizierten Prozess möglich sein.
Ein Angreifer der diese Lücke ausnutzt, kann einen beliebigen Code als Handler definieren, der dann bei der Herstellung einer Netzverbindung mit den erhöhten Sicherheitsrechten ausgeführt wird.
Diese Lücke kann nur von Angreifer genutzt werden, die sich an dem System interaktiv anmelden dürfen. Dies betrifft Workstations und Terminal Server. Microsoft empfiehlt, die interaktive Anmeldung an wichtigen Systemen zu verbieten. Des Weiteren würde ein Patch zur Verfügung gestellt:
http://www.microsoft.com/technet/security/bulletin/ms02-042.asp
Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...