Geschrieben von [CF]Bunny am 30.10.2003 um 12:56:
@du mit dem komischen namen bei dems mir zu blöd ist den zu schreiben: Wenn man keine Ahnung hat sollte man lieber die Fr*ss* halten!
@all: Wer den Nachrichtendienst deaktiviert behebt damit NICHT die Sicherheitslücke! Es ist eine reine symptombekämpfung! Siehe hierzu das untenstehende Microsoft Sycurity Bulletin:
Microsoft Security Bulletin MS03-043
Pufferüberlauf im Nachrichtendienst kann Codeausführung ermöglichen (828035)
Erstveröffentlichung: 15. Oktober 2003 (letzte Aktualisierung am 22. Oktober 2003)
Gliederung dieses Bulletins
Zusammenfassung
Technische Details
Häufig gestellte Fragen (FAQs)
Problemumgehungen
Zusammenfassung
Wer sollte dieses Bulletin lesen: Benutzer von Microsoft Windows.
Auswirkungen der Sicherheitsanfälligkeiten: Codeausführung
Bewertung des maximalen Schweregrads: Kritisch
Empfehlung: Benutzer sollten das Messenger Service umgehend deaktivieren und überprüfen, wie der Patch schnellstmöglich installiert werden kann.
Betroffene Software:
Microsoft Windows NT Workstation 4.0, Service Pack 6a
Microsoft Windows NT Server 4.0, Service Pack 6a
Microsoft Windows NT Server 4.0, Terminal Server Edition, Service Pack 6
Microsoft Windows 2000, Service Pack 2
Microsoft Windows 2000, Service Pack 3, Service Pack 4
Microsoft Windows XP, Service Pack 1
Microsoft Windows XP 64-bit Edition
Microsoft Windows XP 64-bit Edition Version 2003
Microsoft Windows Server 2003
Microsoft Windows Server 2003 64-bit Edition
Nicht betroffen Software:
Microsoft Windows Me
Die oben aufgeführte Software wurde daraufhin getestet, ob sie betroffen ist. Frühere Versionen werden nicht mehr unterstützt und sind möglicherweise ebenfalls von dieser Sicherheitsanfälligkeit betroffen.
Technische Details
Der Nachrichtendienst weist eine Sicherheitsanfälligkeit auf, die das Ausführen beliebigen Codes auf dem betroffenen System ermöglichen kann. Die Sicherheitsanfälligkeit ergibt sich, weil der Nachrichtendienst die Länge einer Nachricht nicht einwandfrei überprüft, bevor diese an den zugewiesenen Puffer übergeben wird.
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte Code mit der Berechtigung Lokales System auf dem betroffenen System ausführen oder ein Fehlschlagen des Nachrichtendienstes bewirken. Der Angreifer wäre anschließend in der Lage, beliebige Aktionen auf dem System auszuführen. Beispielsweise könnte er Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit vollständigen Privilegien einrichten.
Schadensbegrenzende Faktoren:
Nachrichten werden über NetBIOS oder RPC an den Nachrichtendienst übermittelt. Wenn Benutzer die NetBIOS-Ports (Ports 137-139) sowie UDP-Broadcastpakete durch eine Firewall blockiert haben, können andere Benutzer keine Nachrichten über diese Ports an sie senden. Die meisten Firewalls einschließlich der Internetverbindungsfirewall, die in Windows XP enthalten ist, blockieren NetBIOS standardmäßig.
Das Blockieren von UDP-Port 135 an der Firewall verhindert mögliche Angriffe.
Das Deaktivieren des Nachrichtendienstes verhindert ebenfalls mögliche Angriffe.
Auf Windows Server 2003-Systemen ist der Nachrichtendienst standardmäßig deaktiviert.
Bewertung des Schweregrads:
Windows NT 4.0 Server - Kritisch
Windows NT 4.0 Workstation - Kritisch
Windows NT Server 4.0 Terminal Server Edition - Kritisch
Windows 2000 - Kritisch
Windows XP - Kritisch
Windows Server 2003 - Mittel
Die oben getroffene Bewertung basiert auf den von der Sicherheitsanfälligkeit betroffenen Systemarten, ihren typischen Bereitstellungsmustern und den möglichen Auswirkungen, die ein Angriff der Sicherheitsanfälligkeit auf sie hat.
Kennungen der Sicherheitsanfälligkeit: CAN-2003-0717
Häufig gestellte Fragen (FAQs)
Worin genau besteht diese Sicherheitsanfälligkeit?
Es handelt sich bei dieser Sicherheitsanfälligkeit um einen Pufferüberlauf. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte Code mit der Berechtigung Lokales System auf dem betroffenen System ausführen oder ein Fehlschlagen des Nachrichtendienstes bewirken. Der Angreifer wäre dann in der Lage, beliebige Aktionen auf dem System auszuführen. Beispielsweise könnte er Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit vollständigen Privilegien einrichten.
Was ist der Windows-Nachrichtendienst?
Der Nachrichtendienst ist ein Windows-Dienst, der net send-Nachrichten sowie Nachrichten übermittelt, die durch den Warndienst zwischen Clientcomputern und Servern ausgetauscht werden. Der Nachrichtendienst kann z. B. von Netzwerkadministratoren zum Senden administrativer Warnungen an Netzwerkbenutzer verwendet werden. Der Nachrichtendienst kann auch von Windows und anderen Softwareprogrammen verwendet werden. Windows kann ihn z. B. verwenden, um Sie zu informieren, dass ein Druckauftrag abgeschlossen wurde oder der Computer nicht mehr mit Strom versorgt wird und eine Umstellung auf die unterbrechungsfreie Stromversorgung erfolgt. Der Nachrichtendienst besitzt keine Beziehung zum Webbrowser, dem E-Mail-Programm, Windows Messenger oder MSN Messenger.
Was ist die Ursache dieser Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit ergibt sich aus einem ungeprüften Puffer im Nachrichtendienst.
Ein Angreifer, der diese Sicherheitsanfälligkeit ausnutzt, könnte die Berechtigung Lokales System auf dem betroffenen System erlangen oder ein Fehlschlagen des Dienstes bewirken.
Ist der Nachrichtendienst mit Windows Messenger oder MSN Messenger identisch?
Nein. Berücksichtigen Sie unbedingt, dass der Nachrichtendienst nicht mit Windows Messenger oder MSN Messenger identisch ist. Windows Messenger (
http://messenger.microsoft.com) und MSN Messenger (
http://messenger.msn.com) sind Instant Messaging-Dienste, die Benutzern Kommunikation sowie den Austausch von Bildern, Videos usw. ermöglichen. Im Gegensatz dazu ist der Nachrichtendienst (
http://support.microsoft.com/default.aspx?scid=kb;de;168893) ein einfacher Nur-Text-Broadcastdienst, der hauptsächlich von Administratoren zum Senden von Warnungen an Benutzer verwendet wird, z. B. um sie vor anstehenden Ausfällen oder Serverwartungen usw. zu warnen.
Welcher Fehler liegt im Nachrichtendienst vor?
Die Sicherheitsanfälligkeit ergibt sich, weil der Nachrichtendienst die Länge einer Nachricht nicht einwandfrei überprüft, bevor diese an den zugewiesenen Puffer übergeben wird.
Wie könnten Angreifer diese Sicherheitsanfälligkeit ausnutzen?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte Code mit der Berechtigung Lokales System auf dem betroffenen System ausführen oder ein Fehlschlagen des Nachrichtendienstes bewirken. Der Angreifer wäre anschließend in der Lage, beliebige Aktionen auf dem System auszuführen. Beispielsweise könnte er Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit vollständigen Privilegien einrichten.
Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, indem er eine besonders gestaltete Nachricht erstellt und diese dann an den Nachrichtendienst auf einem betroffenen System sendet.
Was bewirkt der Patch?
Der Patch behebt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass der Nachrichtendienst die Länge einer Nachricht einwandfrei überprüft, bevor diese an den zugewiesenen Puffer übergeben wird.
Problemumgehungen
Microsoft hat die folgenden Problemumgehungen geprüft. Diese Problemumgehungen schließen zwar die zugrunde liegende Sicherheitslücke nicht, tragen jedoch dazu bei, bekannte Angriffsmethoden abzuwehren. Problemumgehungen können in einigen Fällen eine Einschränkung der Funktionalität nach sich ziehen. Dies wird ggf. nachstehend angegeben.
Blockieren von UDP-Port 135 an der Perimeterfirewall.
Das Blockieren von UDP-Port 135 schützt Systeme hinter einer Firewall vor einem Angriff, der außerhalb der Firewall gestartet wird.
Verwenden einer persönlichen Firewall wie z. B. der Internetverbindungsfirewall (Internet Connection Firewall oder ICF - nur für Windows XP und Windows Server 2003 verfügbar).
Wenn Sie die Internetverbindungsfirewall in Windows XP oder Windows Server 2003 zum Schützen Ihrer Internetverbindung verwenden, wird eingehender RPC-Verkehr aus dem Internet standardmäßig blockiert.
So aktivieren Sie die Internetverbindungsfirewall mit dem Netzwerkinstallations-Assistenten:
Führen Sie den Netzwerkinstallations-Assistenten aus. Um auf diesen Assistenten zuzugreifen, zeigen Sie auf Systemsteuerung, doppelklicken Sie dann auf Netzwerk- und Internetverbindungen, und klicken Sie anschließend auf Heimnetzwerk bzw. kleines Büronetzwerk einrichten oder ändern.
Die Internetverbindungsfirewall wird aktiviert, wenn Sie im Assistenten eine Konfiguration auswählen, die angibt, dass Ihr Computer direkt mit dem Internet verbunden ist.
So konfigurieren Sie die Internetverbindungsfirewall manuell für eine Verbindung:
Doppelklicken Sie in der Systemsteuerung auf Netzwerk- und Internetverbindungen, und klicken Sie dann auf Netzwerkverbindungen.
Klicken Sie mit der rechten Maustaste auf die Verbindung, für die Sie ICF aktivieren möchten, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf der Registerkarte Erweitert auf das Kontrollkästchen, um die Option Diesen Computer und das Netzwerk schützen, indem das Zugreifen auf diesen Computer vom Internet eingeschränkt oder verhindert wird zu aktivieren.
Wenn Sie die Verwendung einiger Anwendungen und Dienste über die Firewall aktivieren möchten, müssen Sie diese aktivieren, indem Sie auf die Schaltfläche Einstellungen klicken und dann die Programme, Protokolle und Dienste auswählen, die für die ICF-Konfiguration aktiviert werden sollen.
Blockieren von Port 135 durch einen IPSec-Filter.
Sie können die Netzwerkkommunikation auf Windows 2000-, Windows XP- und Windows 2000 Server-Computern sichern, wenn Sie IPSec (Internet Protocol Security) verwenden. Ausführliche Informationen zu IPSec sowie zum Anwenden von Filtern finden Sie in den Microsoft Knowledge Base-Artikeln 313190 und 813878 (englischsprachig).
Deaktivieren des Nachrichtendienstes
Das Deaktivieren des Nachrichtendienstes verhindert mögliche Angriffe. Sie können den Nachrichtendienst deaktivieren, indem Sie folgendermaßen vorgehen:
Klicken Sie auf Start, und klicken Sie dann auf Systemsteuerung (oder zeigen Sie auf Einstellungen, und klicken Sie dann auf Systemsteuerung).
Doppelklicken Sie auf Verwaltung.
Doppelklicken Sie auf Dienste.
Doppelklicken Sie auf Nachrichtendienst.
Klicken Sie in der Liste Starttyp auf Deaktiviert.
Klicken Sie auf Beenden, und klicken Sie dann auf OK.
Auswirkung der Problemumgehung: Wenn der Nachrichtendienst deaktiviert ist, werden Nachrichten vom Warndienst (z. B. Benachrichtigungen von der Sicherungssoftware oder der unterbrechungsfreien Stromversorgung) nicht übertragen. Wenn der Nachrichtendienst deaktiviert ist, werden alle Dienste, die explizit vom Nachrichtendienst abhängen, nicht gestartet, und eine Fehlermeldung wird im Systemereignisprotokoll aufgezeichnet.
Den kompletten Bericht gibts
hier
[EDIT]
Rechtschreibfehler entfernt
[/EDIT]
