1) Microsoft Security Bulletin MS03-039
Pufferüberlauf in RPC-Schnittstelle kann Codeausführung ermöglichen (824146)
Auswirkung der Sicherheitsanfälligkeit: Verwenden von beliebigem Code durch Angreifer
Bewertung des maximalen Schweregrads: Kritisch
Betroffene Software:
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
Technische Beschreibung:
Remote Procedure Call (RPC) ist ein Protokoll, das vom Betriebssystem Windows verwendet wird. RPC stellt einen Mechanismus für die Kommunikation zwischen Prozessen zur Verfügung, das Programmen, die auf einem Computer verwendet werden, erlaubt, Code nahtlos auf einem Remotesystem auszuführen. Das Protokoll selbst ist vom RPC-Protokoll von OSF (Open Software Foundation) abgeleitet. Es wurden jedoch einige Microsoft-spezifische Erweiterungen hinzugefügt.
Es wurden drei Sicherheitslücken in dem Teil des Windows RPC-Dienstes (RPCSS) entdeckt, die RPC-Nachrichten für DCOM Aktivierung betreffen. Zwei dieser Lücken ermöglichen es dem Angreifer Code auf dem betroffenen System auszuführen, die dritte Lücke kann zu einem Denial of Service führen. Die Fehler resultieren im inkorrekten Handling fehlerhafter RPC-Nachrichten.
Die Sicherheitslücken betreffen die DCOM-Schnittstelle im RPCSS. Diese Schnittstelle verarbeitet DCOM-Objekt-Aktivierungsanfragen, die von Clientrechnern an den Server geschickt werden.
Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzen kann, kann Code mit Lokalen Systemberechtigungen auf dem betroffenen System ausführen oder den RPCSS zum Absturz bringen. Der Angreifer könnte somit jede Aktion auf dem System durchführen inkl. Installieren von Programmen, Ändern bzw. Löschen von Daten, Erstellen neuer Benutzerkonten mit vollen Berechtigungen.
Schadensbegrenzende Faktoren:
Firewall Best Practices und Standard Default Firewall Konfigurationen können helfen, externe Angriffe auf das Unternehmensnetzwerk zu verhindern. Die bewährten Methode besteht im Blockieren aller TCP/IP-Ports, die nicht tatsächlich verwendet werden. Weiterführende Informationen über die von RPC verwendeten Ports finden Sie unter http://www.microsoft.com/technet/pro...t4/tcpappc.asp
Wichtiger Hinweis: Microsoft hat die Versionen Windows Windows Millennium Edition, Windows NT 4.0 Server, Windows NT 4.0 Terminal Services Edition, Windows 2000, Windows XP und Windows Server 2003 getestet. Vorhergehende Versionen werden gemäß des Support Lifecycles nicht mehr unterstützt, und können daher von den Sicherheitslücken betroffen sein oder nicht.
Der in diesem Bulletin zu Verfügung gestellte Fix ersetzt die Fixes aus MS03-026 und ebenso den Fix aus MS01-048.
Weitere Details sowie die Links zu den Patches, finden Sie unter:
Englisch: http://www.microsoft.com/technet/sec...n/MS03-039.asp
Viele Grüße
Dieter
Kommentar