|
Für die bereits seit dem 26.07.03 bekannte RPC Sicherheitslücke im Betriebssystem Windows sind zwischenzeitlich bequeme Exploits in Umlauf, die über eine Remote-Verbindung via Port 4444 einen Pufferüberlauf erzeugen und dem Angreifer Zugriff auf das lokale System ermöglichen. Es wird also aktuell nicht nur Port 135 für Angriffe benutzt sondern auch andere höhere Ports.
In der jetzt gefundenen PDF Dokumentation erhalten selbst völlig unerfahrene Anwender eine exakte Schritt für Schritt Anleitung nebst Downloadmöglichkeit der Hilfsmittel wie IP Scanner und den entsprechenden Exploit zur Ausführung des Zugriffs.
Der in der Anleitung angebotene Exploit lässt sich durch die Verwendung einer ID, die dem entsprechenden Betriebssystem (Windows 2000 oder XP mit und ohne Servicepack) entspricht, zielgerichtet einsetzen. Anschließend wird der entsprechende Code zum Überlauf der RPC Schnittstelle mittels Batchdatei injiziert. Anschließend erfolgt mittels zum Beispiel netcat der Zugriff auf den verwundbaren Rechner.
Test-Scans verschiedener IP Ranges zeigten sehr eindrucksvoll, dass trotz bekannter Gefahr durch die Sicherheitslücke noch immer sehr viele Systeme nicht gepatcht und/oder nicht ausreichend geschützt und entsprechend angreifbar sind.
Hintergrund
Microsoft Windows NT/2000/XP/2003 weist eine Pufferüberlaufschwachstelle in der Remote Procedure Call (RPC)-Komponente auf, die den Nachrichtenaustausch über TCP/IP für DCOM verarbeitet. Angreifer können diese Schwachstelle über das Netzwerk mittels einer RPC-Anfrage (über verschiedene TCP- und UDP-Ports) zur Ausführung beliebigen Programmcodes mit SYSTEM-Privilegien ausnutzen. Eine Authentifizierung ist hierfür nicht notwendig (wenn sie nicht zur Nutzung des RPC-Transportes nötig ist; bei den Ports 135/TCP und 135/UDP gibt es eine solche Sicherung nicht).
Entgegen der ersten Analyse von Microsoft, die eine wesentliche Grundlage für die erste Fassung dieser Mitteilung war, kommen als Einfallstor weitere RPC-Transportwege außer Port 135/TCP in Frage.
Workaround
Im Microsoft-Advisory wird für Windows XP und Server 2003 beschrieben, wie DCOM abgeschaltet werden kann.
Falls Verkehr zu den Ports 135, 139 und 445 (jeweils TCP und UDP, eventuell auch noch Port 593/TCP) gefiltert wird, kann der Kreis der Angreifer beschränkt werden.
Gegenmaßnahmen
Microsoft stellt Patches zur Behebung der Sicherheitslücke zur Verfügung:
Windows NT 4.0 Workstation, Server
Windows NT 4.0 Terminal Server Edition
Windows 2000
Windows XP 32 bit Edition
Windows XP 64 bit Edition
Windows Server 2003 32 bit Edition
Windows Server 2003 64 bit Edition
Die Installation des Sicherheitsupdates erfordert einen Neustart des Systems und kann auf Windows NT 4.0 mit Service Pack 6a, Windows NT 4.0 Terminal Server mit Service Pack 6, Windows 2000 mit Service Pack 3 oder 4, Windows XP mit oder ohne Service Pack 1 und Windows Server 2003 erfolgen.
|