Die folgend beschriebenen Sicherheitlücken betreffen NEUE Vulnerabilities die unabhängig vom MS03-026 entdeckt worden sind.

1) Microsoft Security Bulletin MS03-039
Pufferüberlauf in RPC-Schnittstelle kann Codeausführung ermöglichen (824146)

Auswirkung der Sicherheitsanfälligkeit: Verwenden von beliebigem Code durch Angreifer
Bewertung des maximalen Schweregrads: Kritisch

Betroffene Software:
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003

Technische Beschreibung:
Remote Procedure Call (RPC) ist ein Protokoll, das vom Betriebssystem Windows verwendet wird. RPC stellt einen Mechanismus für die Kommunikation zwischen Prozessen zur Verfügung, das Programmen, die auf einem Computer verwendet werden, erlaubt, Code nahtlos auf einem Remotesystem auszuführen. Das Protokoll selbst ist vom RPC-Protokoll von OSF (Open Software Foundation) abgeleitet. Es wurden jedoch einige Microsoft-spezifische Erweiterungen hinzugefügt.

Es wurden drei Sicherheitslücken in dem Teil des Windows RPC-Dienstes (RPCSS) entdeckt, die RPC-Nachrichten für DCOM Aktivierung betreffen. Zwei dieser Lücken ermöglichen es dem Angreifer Code auf dem betroffenen System auszuführen, die dritte Lücke kann zu einem Denial of Service führen. Die Fehler resultieren im inkorrekten Handling fehlerhafter RPC-Nachrichten.
Die Sicherheitslücken betreffen die DCOM-Schnittstelle im RPCSS. Diese Schnittstelle verarbeitet DCOM-Objekt-Aktivierungsanfragen, die von Clientrechnern an den Server geschickt werden.

Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzen kann, kann Code mit Lokalen Systemberechtigungen auf dem betroffenen System ausführen oder den RPCSS zum Absturz bringen. Der Angreifer könnte somit jede Aktion auf dem System durchführen inkl. Installieren von Programmen, Ändern bzw. Löschen von Daten, Erstellen neuer Benutzerkonten mit vollen Berechtigungen.

Schadensbegrenzende Faktoren:
Firewall Best Practices und Standard Default Firewall Konfigurationen können helfen, externe Angriffe auf das Unternehmensnetzwerk zu verhindern. Die bewährten Methode besteht im Blockieren aller TCP/IP-Ports, die nicht tatsächlich verwendet werden. Weiterführende Informationen über die von RPC verwendeten Ports finden Sie unter http://www.microsoft.com/technet/pro...t4/tcpappc.asp

Wichtiger Hinweis: Microsoft hat die Versionen Windows Windows Millennium Edition, Windows NT 4.0 Server, Windows NT 4.0 Terminal Services Edition, Windows 2000, Windows XP und Windows Server 2003 getestet. Vorhergehende Versionen werden gemäß des Support Lifecycles nicht mehr unterstützt, und können daher von den Sicherheitslücken betroffen sein oder nicht.

Der in diesem Bulletin zu Verfügung gestellte Fix ersetzt die Fixes aus MS03-026 und ebenso den Fix aus MS01-048.

Weitere Details sowie die Links zu den Patches, finden Sie unter:
Englisch: http://www.microsoft.com/technet/sec...n/MS03-039.asp

Viele Grüße
Dieter

RPC-Dienst immer noch offen -- Microsoft bessert nach

Microsoft hat am Mittwochabend neue Patches für den RPC/DCOM-Dienst herausgebracht, in dem sie erst kürzlich eine schwerwiegende Sicherheitslücken gestopft hatten. Der Blaster/Lovsan-Wurm machte sich diese Sicherheitslücken zu Nutze, um sich Mitte August massiv zu verbreiten.

Das jüngste Security Bulletin MS03-039 warnt, dass sich offenbar noch immer drei Sicherheitslücken im RPC/DCOM-Dienst befinden, zwei davon ermöglichen die Ausführung von beliebigen Befehlen. Betroffen sind wiederum Windows NT, 2000, XP und Server 2003. Die Patches im aktuellen Bulletin bezeichnet Microsoft als Ersatz für die in MS03-026 aufgeführten. Microsoft stuft die neuen Lücken als kritisch ein und empfiehlt Anwendern und Administratoren dringend, die Patches schnellstmöglich einzuspielen.

Bei den Informationen, um was es sich bei den Problemen genau handelt, halten sich die Redmonder jedoch sehr bedeckt. Aus ihren Ausführungen lässt sich nicht einmal entnehmen, ob es sich um neue Lücken handelt oder um die bereits bekannten, die womöglich fehlerhaft gestopft wurden. Mehr Informationen liefert die Firma eEye Digital Security, bei der sich Microsoft für Berichte über das Problem bedankt. Ein parallel veröffentlichtes eEye-Advisory spricht von einer neuen Schwachstelle, die zu einer "Heap Corruption" führen kann. Der Heap ist ein Speicherbereich, in dem Variablen und auch dynamisch allozierter Speicher liegen. Heap-Overflows sind schwieriger auszunutzen als die klassischen Buffer-Overflows auf dem Stack, insbesondere weil es keinen generischen Weg gibt, einmal eingeschleusten Code anzuspringen. eEye hat jedoch anscheinend einen Weg gefunden, die Schwachstelle auszunutzen, stellt aber keinen konkreten Exploit-Code bereit. Dafür haben die Sicherheitsexperten ihren Retina-Security-Scanner so modifiziert, dass er in Netzwerken anfällige Systeme identifizieren kann. Eine spezieller RPC-Scanner steht zum kostenlosen Download bereit. Auch Microsoft stellt einen Scanner bereit, der verwundbare Systeme identifiziert.

Ob der bereits vor einiger Zeit berichtete, weitere Fehler im RPC-Dienst von Windows 2000 durch den aktuellen Microsoft-Patch beseitigt wird, ist derzeit noch offen.

Siehe dazu auch:


Microsofts Security Bulletin MS03-039
Microsofts Scanner
Das eEye-Advisory
eEye RPC-Scanner
heise Security Hintergrund:-Artikel: Buffer-Overflows und andere Sollbruchstellen