Microsoft Security Bulletin MS03-039
Pufferüberlauf in RPCSS-Dienst kann Codeausführung ermöglichen (824146)
Auf dieser Seite
 | Zusammenfassung |
| Technische Details |
| Häufig gestellte Fragen (FAQs) |
| Problemumgehungen |
| Verfügbarkeit des Patches |
Zurück zur Übersicht
Zusammenfassung
Wer sollte dieses Bulletin lesen: Benutzer von Microsoft Windows
Auswirkungen der Sicherheitsanfälligkeiten: Ausführen von beliebigem Code durch Angreifer
Bewertung des maximalen Schweregrads: Kritisch
Empfehlung: Benutzer von Microsoft Windows und Systemadministratoren sollten den Patch umgehend installieren.
Schützen Sie Ihren PC:
Informationen dazu, wie Sie Ihren PC schützen können, finden Sie auch auf folgenden Webseiten:
| • | |
| • |
Betroffene Software:
| • | Microsoft Windows NT Workstation 4.0 |
| • | Microsoft Windows NT Server 4.0 |
| • | Microsoft Windows NT Server 4.0 Terminal Server Edition |
| • | Microsoft Windows 2000 |
| • | Microsoft Windows XP |
| • | Microsoft Windows Server 2003 |
Nicht betroffene Software:
| • | Microsoft Windows Millennium Edition |
Eine englischsprachige Version dieses Bulletins finden Sie auf dieser Webseite.
Technische Details
Technische Beschreibung
Die von diesem Patch bereitgestellte Fehlerbehebung ersetzt den Patch im Microsoft Security Bulletin MS03-026.
Remoteprozeduraufruf (Remote Procedure Call oder RPC) ist ein Protokoll, das vom Betriebssystem Windows verwendet wird. RPC stellt einen Mechanismus für die Kommunikation zwischen Prozessen zur Verfügung, der Programmen auf einem Computer erlaubt, nahtlos auf Dienste auf einem anderen Computer zuzugreifen. Das Protokoll selbst ist vom RPC-Protokoll von OSF (Open Software Foundation) abgeleitet. Es wurden jedoch einige Microsoft-spezifische Erweiterungen hinzugefügt.
Der Teil des RPCSS-Dienstes, der RPC-Nachrichten für die DCOM-Aktivierung verarbeitet, weist drei bekannte Sicherheitsanfälligkeiten auf - zwei Sicherheitsanfälligkeiten, die die Ausführung von beliebigem Code erlauben könnten, sowie eine Sicherheitsanfälligkeit, die zu DoS (Denial-of-Service) führen kann. Die Fehler ergeben sich aus der falschen Verarbeitung ungültiger Nachrichten. Die besonderen Sicherheitsanfälligkeiten wirken sich auf die DCOM-Schnittstelle (Distributed Component Object Model) im RPCSS-Dienst aus. Diese Schnittstelle verarbeitet DCOM-Objektaktivierungsanfragen, die von einem Computer zu einem anderen gesendet werden.
Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausnutzt, könnte Code mit der Berechtigung Lokales System auf dem betroffenen System ausführen oder ein Fehlschlagen des RPCSS-Dienstes bewirken. Der Angreifer wäre dann in der Lage, beliebige Aktionen auf dem System auszuführen. Beispielsweise könnte er Programme installieren, Daten anzeigen, ändern bzw. löschen oder neue Konten mit vollständigen Privilegien einrichten.
Um diese Sicherheitsanfälligkeiten auszunutzen, könnte ein Angreifer ein Programm schreiben, das eine ungültige RPC-Nachricht an ein gefährdetes System sendet, die den RPCSS-Dienst angreift.
Microsoft hat ein Tool veröffentlicht, mit dem ein Netzwerk auf das Vorhandensein von Systemen überprüft werden kann, auf denen der Patch MS03-039 nicht installiert wurde. Weitere Einzelheiten zu diesem Tool finden Sie im Microsoft Knowledge Base-Artikel 827363. Dieses Tool ersetzt das Tool aus dem Microsoft Knowledge Base-Artikel 826369. Wenn das Tool aus dem Microsoft Knowledge Base-Artikel 826369 in einem System angewendet wird, auf dem der Patch aus diesem Bulletin installiert ist, meldet das veraltete Tool fälschlicherweise, dass dem System der Patch aus MS03-026 fehlt. Microsoft empfiehlt seinen Kunden dringend, die aktuellste Version des Tools auszuführen, die im Microsoft Knowledge Base-Artikel 827363 zur Verfügung steht. Damit können Sie feststellen, ob Ihre Systeme mit dem Patch ausgerüstet sind.
Schadensbegrenzende Faktoren:
| • | Bewährte Methoden für die Firewall und standardisierte Firewallkonfigurationen helfen dabei, Netzwerke vor Remoteangriffen von außerhalb des Unternehmens zu schützen. Die bewährten Methoden bestehen im Blockieren aller Ports, die nicht tatsächlich verwendet werden. Aus diesem Grund sollten die meisten mit dem Internet verbundenen Systeme nur eine minimale Anzahl der betroffenen Ports ungeschützt lassen. |
Bewertung des Schweregrads:
1. | Pufferüberlauf-Sicherheitsanfälligkeiten
| ||||||||||
2. | DoS-Sicherheitsanfälligkeiten
| ||||||||||
3. | Gemeinsamer Schweregrad aller durch diesen Patch behobenen Sicherheitsanfälligkeiten
|
Kennungen der Sicherheitsanfälligkeiten:
Pufferüberlauf: CAN-2003-0715
Pufferüberlauf: CAN-2003-0528
DoS-Sicherheitsanfälligkeiten: CAN-2003-0605
Getestete Versionen:
Microsoft hat Windows Millennium Edition, Windows NT 4.0 Server, Windows NT 4.0 Terminal Server Edition, Windows 2000, Windows XP und Windows Server 2003 getestet, um einzuschätzen, inwiefern diese von der Sicherheitsanfälligkeit betroffen sind. Frühere Versionen werden nicht mehr unterstützt und sind möglicherweise ebenfalls von dieser Sicherheitsanfälligkeit betroffen.
Häufig gestellte Fragen (FAQs)
Das Security Bulletin MS03-026 betraf auch RPC. Ersetzt dieser Patch denjenigen, der mit dem Bulletin ausgeliefert wurde?
Ja. Der Patch aus diesem Bulletin ersetzt den aus MS03-026 vollständig, genau wie den aus MS01-048.
Worin genau besteht die Sicherheitsanfälligkeit?
Dieses Bulletin behandelt drei verschiedene Sicherheitsanfälligkeiten. Bei den ersten beiden Sicherheitsanfälligkeiten handelt es sich um Pufferüberlauf-Probleme (Buffer Overrun), bei der dritten um eine DoS-Anfälligkeit (Denial of Service). Ein Angreifer, der eine der Sicherheitsanfälligkeiten vom Typ Pufferüberlauf erfolgreich ausnutzt, kann die vollständige Kontrolle über einen Remotecomputer erlangen. Dies ermöglicht dem Angreifer das Durchführen aller gewünschten Aktionen auf dem System, z. B. das Ändern von Webseiten, das Neuformatieren der Festplatte oder das Hinzufügen neuer Benutzer zur Gruppe Lokale Administratoren.
Ein Angreifer, der die Denial-of-Service-Sicherheitsanfälligkeit erfolgreich ausnutzt, kann bewirken, dass der RPC-Dienst blockiert wird und nicht mehr reagiert.
Um einen solchen Angriff durchführen zu können, müsste ein Angreifer eine ungültige Nachricht an den RPCSS-Dienst senden und auf diese Weise das Fehlschlagen des Zielcomputers bewirken, so dass willkürlicher Code ausgeführt werden kann.
Was ist die Ursache dieser Sicherheitsanfälligkeiten?
Die Sicherheitsanfälligkeiten ergeben sich, weil der RPCSS-Dienst von Windows unter bestimmten Umständen Nachrichteneingaben nicht einwandfrei überprüft. Nach dem Herstellen einer Verbindung könnte ein Angreifer eine besonders gestaltete, ungültige RPC-Nachricht senden, um in der zugrunde liegende DCOM-Aktivierungsinfrastruktur (Distributed Component Object Model) im RPCSS-Dienst auf dem Remotesystem einen Fehler zu verursachen, so dass willkürlicher Code ausgeführt werden kann.
Was ist DCOM?
DCOM (Distributed Component Object Model) ist ein Protokoll, das Softwarekomponenten die direkte Kommunikation über ein Netzwerk ermöglicht. Zuvor als "Network OLE" bezeichnet, wurde DCOM zur Verwendung mehrerer Netzwerktransportdienste entwickelt, z. B. Internetprotokolle wie HTTP. Weitere Informationen zu DCOM finden Sie auf dieser Webseite (englischsprachig).
Was ist RPC (Remote Procedure Call)?
RPC (Remote Procedure Call oder Remoteprozeduraufruf) ist ein Protokoll, das ein Programm zum Anfordern eines Dienstes von einem Programm verwenden kann, das sich auf einem anderen Computer in einem Netzwerk befindet. RPC unterstützt die Interoperabilität, da das Programm, das RPC verwendet, die Netzwerkprotokolle nicht kennen muss, die die Kommunikation unterstützen. In RPC stellt das anfordernde Programm den Client und das den Dienst anbietende Programm den Server dar.
Was ist CIS (COM Internet Services) und RPC über HTTP?
RPC über HTTP, Version 1 (Windows NT 4.0, Windows 2000) und Version 2 (Windows XP, Windows Server 2003), bieten Unterstützung für ein neues RPC-Transportprotokoll, das RPC Operationen über die TCP-Ports 80 und 443 (nur Version 2) ermöglicht. Auf diese Weise können ein Client und ein Server über die meisten Proxyserver und Firewalls hinweg kommunizieren. Durch CIS (COM Internet Services) kann DCOM RPC über HTTP für die Kommunikation zwischen DCOM-Clients und DCOM-Servern verwenden.
Weitere Informationen zu "RPC über HTTP" für Windows Server 2003 finden Sie hier.
Weitere Informationen zu COM Internet Services (auch als CIS bezeichnet) finden Sie hier.
Wie kann ich feststellen, ob CIS (COM Internet Services) oder RPC über HTTP installiert ist?
Um festzustellen, ob CIS oder RPC über HTTP auf einem Server installiert ist, gehen Sie folgendermaßen vor:
| • | Auf Windows NT 4.0-Systemen, auf denen Windows NT Option Pack installiert ist: Durchsuchen Sie alle Partitionen nach rpcproxy.dll. Wenn rpcproxy.dll auf dem Server gefunden wird, ist CIS installiert. |
| • | Auf Windows 2000- und Windows Server 2003-Servern: |
Hinweis: Sie können auch in Windows 2000- und Windows Server 2003-Installationen nach rpcproxy.dll suchen, wenn Sie remote oder mittels Programmcode ermitteln möchten, ob CIS oder RPC über HTTP installiert ist.
So suchen Sie auf dem Computer nach einer bestimmten Datei: Klicken Sie auf Start, klicken Sie auf Suchen, klicken Sie auf Nach Dateien oder Ordnern, und geben Sie dann den Namen der Datei ein, nach der gesucht werden soll.
Die Suche kann abhängig von der Größe Ihrer Festplatte mehrere Minuten in Anspruch nehmen.
Welcher Fehler liegt im RPCSS-Dienst vor?
Der RPCSS-Dienst weist einen Fehler auf, der die DCOM-Aktivierung betrifft. Der Fehler erfolgt durch eine falsche Verarbeitung ungültiger Nachrichten. Dieser spezielle Fehler bezieht sich auf den zugrunde liegende RPCSS-Dienst, der für die DCOM-Aktivierung verwendet wird; er überwacht die UDP-Ports 135, 137, 138 und 445 sowie die TCP-Ports 135, 139, 445 und 593. Zusätzlich kann er die Ports 80 und 443 überwachen, wenn CIS oder RPC über HTTP aktiviert ist.
Durch das Senden einer ungültigen RPC-Meldung könnte ein Angreifer einen Fehler im RPCSS-Dienst verursachen, so dass willkürlicher Code ausgeführt wird.
Ich verwende noch Microsoft Windows NT 4.0 Workstation. Die Software wird jedoch nicht mehr unterstützt. Trotzdem enthält dieses Bulletin einen Patch, der auf Windows NT 4.0 Workstation installiert wird. Warum?
Der Produktzyklus von Windows NT 4.0 Workstation wurde kürzlich (wie berichtet) beendet, und Microsoft bietet normalerweise keine allgemein verfügbaren Patches an. Aufgrund der Art dieser Sicherheitsanfälligkeit sowie der Tatsache, dass der Produktzyklus erst vor sehr kurzer Zeit beendet wurde, und der Anzahl der zurzeit aktiv verwendeten Computern mit Windows NT 4.0 Workstation hat sich Microsoft dazu entschieden, für diese Sicherheitsanfälligkeit eine Ausnahme zu machen.
Wir gehen nicht davon aus, dass wir bei zukünftigen Sicherheitsanfälligkeiten ebenfalls so handeln werden, behalten uns jedoch das Recht vor, nötigenfalls Patches zu entwickeln und zur Verfügung zu stellen. Kunden mit Computern unter Windows NT 4.0 Workstation werden dringend dazu aufgefordert, diese auf unterstützte Plattformen zu migrieren, um einen Schutz vor zukünftigen Sicherheitsanfälligkeiten zu erreichen.
Weitere Informationen zur Lebenszyklusunterstützung von Windows-Desktopprodukten finden Sie hier.
Ich verwende noch Microsoft Windows 2000 Service Pack 2. Die Software wird jedoch nicht mehr unterstützt. Trotzdem enthält dieses Bulletin einen Patch, der auf Service Pack 2 installiert wird. Warum?
Der Produktzyklus von Windows 2000 Service Pack 2 wurde kürzlich (wie berichtet) beendet, und Microsoft bietet normalerweise keine allgemein verfügbaren Patches an. Aufgrund der Art dieser Sicherheitsanfälligkeit sowie der Tatsache, dass der Produktzyklus erst vor sehr kurzer Zeit beendet wurde, und der Anzahl der Kunden, die zurzeit Windows 2000 Service Pack 2 verwenden, hat sich Microsoft dazu entschieden, für diese Sicherheitsanfälligkeit eine Ausnahme zu machen.
Wir gehen nicht davon aus, dass wir bei zukünftigen Sicherheitsanfälligkeiten ebenfalls so handeln werden, behalten uns jedoch das Recht vor, nötigenfalls Patches zu entwickeln und zur Verfügung zu stellen. Kunden mit Computern unter Windows 2000 Service Pack 2 werden dringend dazu aufgefordert, diese auf unterstützte Plattformen zu migrieren, um einen Schutz vor zukünftigen Sicherheitsanfälligkeiten zu erreichen.
Weitere Informationen zur Lebenszyklusunterstützung von Windows-Desktopprodukten finden Sie hier.
Gibt es Tools zum Auffinden von Systemen in meinem Netzwerk, die den Patch MS03-039 nicht installiert haben?
Ja. Microsoft hat ein Tool herausgebracht, mit dem ein Netzwerk auf das Vorhandensein von Systemen überprüft werden kann, auf denen der Patch MS03-039 nicht installiert wurde. Weitere Einzelheiten zu diesem Tool finden Sie im Microsoft Knowledge Base-Artikel 827363.
Was bewirkt der Patch?
Der Patch behebt die Sicherheitsanfälligkeit, indem die DCOM-Implementierung so geändert wird, dass diese alle an sie übergebenen Informationen einwandfrei überprüft.
Problemumgehungen
Gibt es Möglichkeiten, das Problem zu umgehen und die Ausnutzung dieser Sicherheitsanfälligkeit zu verhindern, während ich den Patch teste bzw. bewerte?
Ja. Auch wenn Microsoft allen Kunden rät, den Patch so früh wie möglich zu installieren, gibt es mehrere Möglichkeiten, das Problem zwischenzeitlich zu umgehen und die Ausnutzung der Sicherheitsanfälligkeit zu verhindern. Es kann nicht garantiert werden, dass die Problemumgehungen alle möglichen Angriffsmethoden blockieren.
Diese Problemumgehungen sollten jedoch nur als Übergangslösungen angesehen werden, da sie lediglich zum Abwehren der Angriffe dienen, anstatt die zugrunde liegende Sicherheitsanfälligkeit zu beheben.
| • | Blockieren Sie die UDP-Ports 135, 137, 138 und 445, sowie die TCP-Ports 135, 139, 445, 593 an der Firewall, und deaktivieren Sie CIS (COM Internet Services) und RPC über HTTP auf den betroffenen Systemen. |
| • | Verwenden Sie die Internetverbindungsfirewall (nur für XP und Windows Server 2003 verfügbar), und deaktivieren Sie CIS (COM Internet Services) und RPC über HTTP, die die Ports 80 und 443 überwachen, auf den betroffenen Computern. |
| • | Blockieren Sie die betroffenen Ports mit einem IPSEC-Filter, und deaktivieren Sie CIS (COM Internet Services) und RPC über HTTP, die die Ports 80 und 443 überwachen, auf den betroffenen Computern. |
| • | Deaktivieren Sie DCOM auf allen betroffenen Computern. Hinweis: Für Windows 2000 funktioniert die oben beschriebene Methode nur auf Systemen, auf denen Service Pack 3 oder höher ausgeführt wird. Kunden, die Service Pack 2 oder frühere Versionen verwenden, sollten auf ein höheres Service Pack upgraden oder eine der anderen Übergangslösungen nutzen. |
Verfügbarkeit des Patches
Downloadadresse für diesen Patch:
| • | |
| • | |
| • | |
| • | |
| • | |
| • | |
| • | |
| • |
Installationsplattformen:
| • | Der Patch für Windows NT 4.0 kann auf Systemen mit Service Pack 6a installiert werden. |
| • | Der Patch für Windows NT 4.0 Terminal Server Edition kann auf Systemen mit Windows NT 4.0 Terminal Server Edition Service Pack 6 installiert werden. |
| • | Der Patch für Windows 2000 kann auf Systemen mit Windows 2000 Service Pack 2, Service Pack 3 oder Service Pack 4 installiert werden. |
| • | Der Patch für Windows XP kann auf Systemen mit Windows XP Gold oder Service Pack 1 installiert werden. |
| • | Der Patch für Windows Server 2003 kann auf Systemen mit Windows Server 2003 Gold installiert werden. |
Aufnahme in zukünftige Service Packs:
Die Fehlerbehebung für dieses Problem wird in Windows 2000 Service Pack 5, Windows XP Service Pack 2 und Windows Server 2003 Service Pack 1 enthalten sein.
Neustart erforderlich: Ja
Deinstallation des Patches möglich: Ja
Frühere Patches: Dieser Patch ersetzt die Patches aus den Security Bulletins MS01-048 und MS03-026.
Überprüfung der Patchinstallation:
| • | Windows NT 4.0: Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, stellen Sie sicher, dass alle im Knowledge Base-Artikel 824146 aufgelisteten Dateien auf dem Computer vorhanden sind. |
| • | Windows NT 4.0 Terminal Server Edition: Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, stellen Sie sicher, dass alle im Knowledge Base-Artikel 824146 aufgelisteten Dateien auf dem Computer vorhanden sind. |
| • | Windows 2000: Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, stellen Sie sicher, dass folgender Registrierungsschlüssel auf dem Computer erstellt wurde: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB824146. |
| • | Windows XP Service Pack 1: Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, stellen Sie sicher, dass folgender Registrierungsschlüssel auf dem Computer erstellt wurde: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB824146. |
| • | Windows XP Gold: Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, stellen Sie sicher, dass folgender Registrierungsschlüssel auf dem Computer erstellt wurde: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB824146. |
| • | Windows Server 2003: Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, stellen Sie sicher, dass folgender Registrierungsschlüssel auf dem Computer erstellt wurde: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Window Server 2003\SP1\KB824146. |
Vorsichtsmaßnahmen: Keine
Lokalisierung:
Lokalisierte Versionen dieses Patches sind unter den im Abschnitt "Verfügbarkeit des Patches" genannten Adressen verfügbar.
Weitere Sicherheitspatches:
Patches für andere Sicherheitsrisiken sind unter den folgenden Adressen erhältlich:
| • | Sicherheitspatches sind im Microsoft Download Center verfügbar und können am einfachsten durch eine Schlüsselwortsuche nach dem Begriff "security_patch" ermittelt werden. |
| • | Patches für Kundenplattformen können Sie auf der Website Windows Update abrufen. |
Sonstige Information
Danksagung:
Microsoft dankt den Unternehmen eEye Digital Security und NSFOCUS Security Team sowie Xue Yong Zhi und Renaud Deraison von Tenable Network Security, dass sie die Pufferüberlauf-Sicherheitsanfälligkeiten an uns gemeldet und zum Schutz unserer Kunden mit uns zusammengearbeitet haben.
Support:
| • | Der Microsoft Knowledge Base-Artikel 824146 befasst sich genauer mit diesem Sicherheitsrisiko und ist etwa 24 Stunden nach Erscheinen dieses Bulletins erhältlich. Knowledge Base-Artikel finden Sie auf der Website zum Microsoft-Onlinesupport. |
| • | Technischer Support ist über Microsoft-Produktsupport erhältlich. Supportanrufe zu Sicherheitspatches sind kostenlos. |
Sicherheitsressourcen:
Die Website Microsoft TechNet-Sicherheit bietet zusätzliche Informationen zur Sicherheit der Microsoft-Produkte.
Verzichtserklärung:
Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.
Revisionen:
| • | V1.0 (10.09.03): Erstellung des Bulletins |