Microsoft Security Bulletin MS03-034
Fehler in NetBIOS kann zur Offenlegung von Informationen führen (824105)
Auf dieser Seite
 | Zusammenfassung |
| Technische Details |
| Häufig gestellte Fragen (FAQs) |
| Problemumgehungen |
| Verfügbarkeit des Patches |
Zurück zur Übersicht
Zusammenfassung
Wer sollte dieses Bulletin lesen: Benutzer von Microsoft Windows
Auswirkungen der Sicherheitsanfälligkeiten: Offenlegung von Informationen
Bewertung des maximalen Schweregrads: Niedrig
Empfehlung: Benutzer sollten in Erwägung ziehen, den Patch auf betroffenen Systemen zu installieren.
Betroffene Software:
| • | Microsoft Windows NT 4.0 Server |
| • | Microsoft Windows NT 4.0, Terminal Server Edition |
| • | Microsoft Windows 2000 |
| • | Microsoft Windows XP |
| • | Microsoft Windows Server 2003 |
Nicht betroffene Software:
| • | Microsoft Windows Millennium Edition |
Technische Details
Technische Beschreibung
NetBIOS ist eine API (Application Programming Interface), die von Programmen in einem LAN (Local Area Network) verwendet werden kann. NetBIOS stellt Programmen eine einheitliche Sammlung von Befehlen zum Anfordern von Diensten auf niedriger Ebene zur Verfügung, die zum Verwalten von Namen, Durchführen von Sitzungen und Senden von Datagrammen zwischen Knoten in einem Netzwerk erforderlich sind.
Diese Sicherheitsanfälligkeit bezieht sich auf einen der NetBT-Dienste (NetBIOS über TCP), nämlich auf den NetBIOS-Namensdienst (NBNS). NBNS entspricht DNS in der TCP/IP-Welt und stellt ein Verfahren zum Ermitteln der IP-Adresse eines Computers zur Verfügung, wenn sein NetBIOS-Name bekannt ist. Auch die umgekehrte Vorgehensweise ist möglich.
Unter bestimmten Bedingungen kann die Antwort auf eine NetBT-Namensdienstabfrage neben der normalen Antwort auch zufällige Daten aus dem Speicher des Zielsystems enthalten. Bei diesen Daten kann es sich z. B. um HTML-Code handeln, wenn der Benutzer auf dem Zielsystem einen Internetbrowser verwendet, oder es können andere Typen von Daten übermittelt werden, die im Speicher vorhanden waren, als der Zielcomputer auf eine NetBT-Namensdienstabfrage geantwortet hat.
Ein Angreifer könnte versuchen, diese Sicherheitsanfälligkeit auszunutzen, indem er eine NetBT-Namensdienstabfrage an das Zielsystem sendet und die Antwort dann sorgfältig auf zufällige Daten aus dem Speicher dieses Systems hin überprüft.
Wenn die normalen Sicherheitsvorgehensweisen befolgt wurden und UDP-Port 137 an der Firewall blockiert wurde, sind internetbasierte Angriffe nicht möglich.
Schadensbegrenzende Faktoren:
| • | Alle offen gelegten Informationen wären vollkommen zufällig. |
| • | Die Internetverbindungsfirewall (Internet Connection Firewall, ICF), die im Lieferumfang von Windows XP und Windows Server 2003 enthalten ist, blockiert diese Ports standardmäßig. |
| • | Zum Ausnutzen dieser Sicherheitsanfälligkeit müsste ein Angreifer eine speziell gestaltete NetBT-Anforderung an Port 137 auf dem Zielsystem senden können und dann die Antwort auf zufällige Daten aus dem Speicher dieses Systems hin untersuchen. In Intranetumgebungen kann auf diese Ports normalerweise zugegriffen werden, bei mit dem Internet verbundenen Computern sind die Ports jedoch üblicherweise durch eine Firewall blockiert. |
Bewertung des Schweregrads:
Windows NT 4.0 Server | Niedrig |
Windows NT 4.0, Terminal Server Edition | Niedrig |
Windows 2000 | Niedrig |
Windows XP | Niedrig |
Windows Server 2003 | Niedrig |
Die oben getroffene Bewertung basiert auf den von der Sicherheitsanfälligkeit betroffenen Systemarten, ihren typischen Bereitstellungsmustern und den möglichen Auswirkungen, die ein Angriff der Sicherheitsanfälligkeit auf sie hat.
Kennung der Sicherheitsanfälligkeit: CAN-2003-0661
Getestete Versionen:
Microsoft hat Windows Millennium Edition (Me), Microsoft Windows NT 4.0 Server, Microsoft Windows NT 4.0 Terminal Server Edition, Microsoft Windows 2000, Microsoft Windows XP und Microsoft Windows Server 2003 getestet, um einzuschätzen, inwiefern diese von der Sicherheitsanfälligkeit betroffen sind. Frühere Versionen werden nicht mehr unterstützt und sind möglicherweise ebenfalls von dieser Sicherheitsanfälligkeit betroffen.
Häufig gestellte Fragen (FAQs)
Worin genau besteht diese Sicherheitsanfälligkeit?
Die Sicherheitsanfälligkeit bezieht sich auf das Offenlegen von Informationen. Sie könnte einem Angreifer den Empfang zufälliger Daten aus dem Speicher eines anderen Computersystems in einem Netzwerk ermöglichen.
Unter bestimmten Bedingungen kann die Antwort auf eine NetBT-Namensdienstabfrage (NetBIOS über TCP) neben der normalen Antwort auch zufällige Daten aus dem Speicher des Zielsystems enthalten. Bei diesen Daten kann es sich z. B. um HTML-Code handeln, wenn der Benutzer auf dem Zielsystem einen Internetbrowser verwendet, oder es können andere Typen von Daten übermittelt werden, die im Speicher vorhanden waren, als das Zielsystem auf eine NetBT-Namensdienstabfrage geantwortet hat. Zum Ausnutzen dieser Sicherheitsanfälligkeit müsste der Angreifer über NetBT auf das Zielsystem zugreifen können.
Es sollte unbedingt beachtet werden, dass die potenzielle Offenlegung von Informationen weder zielgerichtet erfolgen noch gesteuert werden kann – alle Daten, die ein Angreifer möglicherweise empfängt, sind zufällig, da die Offenlegung von Informationen auf zufällige Daten im Speicher beschränkt ist.
Der Angreifer könnte die Wahrscheinlichkeit dieser Speicheroffenlegung erhöhen, indem er wiederholt NetBT-Namensdienstabfragen an das System sendet. Die Informationen, die offen gelegt werden könnten, wären jedoch auch in diesem Fall zufällig und hingen von den Aktionen ab, die der Benutzer zum Zeitpunkt des Angriffs auf dem Zielsystem durchgeführt hat.
Was ist NetBIOS?
NetBIOS ist eine Sammlung von Netzwerkdiensten für Computernetzwerke. NetBIOS kann über zahlreichen verschiedenen Netzwerkprotokollen implementiert werden, z. B. TCP/IP.
Was ist NetBT?
NetBT ist das Protokoll, das die Bereitstellung von NetBIOS-Diensten in einem TCP/IP-Netzwerk beschreibt. Ausführlichere Informationen finden Sie unter NetBIOS über TCP/IP (NetBT) – Konzepte (englischsprachig).
Was ist die Ursache dieser Sicherheitsanfälligkeit?
Wenn ein Netzwerkdatagramm/-paket aufgefüllt werden muss, sollte die Auffüllzeichenfolge leer sein. Durch einen Fehler in NetBT liegt eine Sicherheitsanfälligkeit vor, die bewirken kann, dass statt leerer Daten zufällige Daten für den Auffüllvorgang verwendet werden.
Was ist ein Datagramm?
Ein Datagramm ist eine eigenständige, unabhängige Datenmenge, die ausreichende Informationen enthält, um vom Quell- an den Zielcomputer weitergeleitet zu werden, ohne dass dazu ein früherer Austausch zwischen diesem Quell- und Zielcomputer und dem Transportnetzwerk erforderlich ist.
Kurz gesagt: Ein Datagramm ist die Teileinheit von Dateien und anderen Inhaltstypen, die mit TCP/IP über ein bestimmtes Netzwerk weitergeleitet wird.
Welcher Fehler liegt bei NetBT vor?
Der Fehler bezieht sich darauf, wie NetBT Datagramme mit Daten auffüllt. Wenn NetBT Namensdienstantworten erstellt, wird ein größerer Puffer zugewiesen, um die für die Antwort erforderlichen Informationen aufzunehmen. Dieser Puffer wird vor der Verwendung nicht einwandfrei initialisiert; d. h., es wird nicht sichergestellt, dass er leer ist. NetBT schreibt nur die Daten in den Puffer, die für die Antwort erforderlich sind, liest jedoch den gesamten Inhalt des Puffers beim Senden der Antwort an das anfordernde System. Infolge dessen kann es sich bei den aufgefüllten Daten – oder der Differenz zwischen den in den Puffer geschriebenen und anschließend aus dem Puffer gelesenen Daten – um zufällige Daten aus einer vorangegangenen Speicheroperation handeln, weil der Puffer nicht zuerst initialisiert wurde.
Wie könnten Angreifer diese Sicherheitsanfälligkeit ausnutzen?
Angreifer könnten durch diese Sicherheitsanfälligkeit einen Teil des Speicherinhalts eines Zielsystems lesen, indem sie das Netzwerk auf Antworten auf NetBT-Namensdienstabfragen durchsuchen. Der Angreifer besitzt jedoch keine Möglichkeit zu bestimmen, welche Speicherinhalte offen gelegt werden; er kann auch nicht die Offenlegung bestimmter Daten erzwingen.
Wie würden Angreifer vorgehen, um diese Sicherheitsanfälligkeit auszunutzen?
Ein Angreifer könnte versuchen, diese Sicherheitsanfälligkeit auszunutzen, indem er eine große Anzahl von NetBT-Namensdienstabfragen an ein Zielsystem sendet und die Antworten dann sorgfältig nach zufälligen Daten aus dem Speicher des Zielsystems untersucht.
In welchem Umfang würden Daten offen gelegt?
Der Umfang der offen gelegten Daten ist klein; normalerweise sind für den Auffüllvorgang 15 Bytes oder weniger erforderlich.
Problemumgehungen
Gibt es Möglichkeiten, das Problem zu umgehen und die Ausnutzung dieser Sicherheitsanfälligkeit zu verhindern, während ich den Patch teste bzw. bewerte?
Ja. Auch wenn Microsoft allen Kunden rät, den Patch so früh wie möglich zu installieren, gibt es mehrere Möglichkeiten, das Problem zwischenzeitlich zu umgehen und die Ausnutzung der Sicherheitsanfälligkeit zu verhindern. Es kann nicht garantiert werden, dass die Problemumgehungen alle möglichen Angriffsmethoden blockieren.
Diese Problemumgehungen sollten jedoch nur als Übergangslösungen angesehen werden, da sie lediglich zum Abwehren der Angriffe dienen, anstatt die zugrunde liegende Sicherheitsanfälligkeit zu beheben.
| • | Blockieren Sie TCP und UDP an Port 137 an der Firewall auf den betroffenen Computern: Dieser Port wird vom NetBT-Namensdienst verwendet. Das Blockieren dieser Ports an der Firewall verhindert, dass Systeme hinter dieser Firewall Angriffen ausgesetzt werden, die diese Sicherheitsanfälligkeiten auszunutzen versuchen. Verwenden Sie dazu die Internetverbindungsfirewall (Internet Connection Firewall oder ICF – nur für Windows XP und Windows Server 2003 verfügbar). Wenn Sie die Internetverbindungsfirewall in Windows XP oder Windows Server 2003 zum Schützen Ihrer Internetverbindung verwenden, wird eingehender NetBT-Verkehr aus dem Internet standardmäßig blockiert. Weitere Informationen zum Aktivieren der Internetverbindungsfirewall (Internet Connection Firewall oder ICF) sowie zu weiteren verfügbaren Optionen finden Sie auf dieser Webseite (englischsprachig). |
| • | Blockieren Sie den betroffenen Port mit einem IPSEC-Filter auf den betroffenen Computern: Sie können die Netzwerkkommunikation auf Windows 2000-basierten Computern sichern, wenn Sie IPSec (Internet Protocol Security) verwenden. Ausführliche Informationen zu IPSec sowie zum Verwenden von Filtern finden Sie in den Microsoft Knowledge Base-Artikeln 313190 und 813878 (englischsprachig). |
| • | Deaktivieren Sie NetBIOS über TCP/IP: Es ist auch möglich, NetBT unter Windows 2000, Windows XP und Windows Server 2003 zu deaktivieren. Weitere Anweisungen hierzu sowie zu den möglichen Auswirkungen finden Sie unter NetBIOS über TCP/IP (NetBT) (englischsprachig). |
Was bewirkt der Patch?
Der Patch beseitigt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass NetBT den Puffer einwandfrei initialisiert.
Verfügbarkeit des Patches
Downloadadresse für diesen Patch:
| • | |
| • | |
| • | |
| • | |
| • | |
| • | |
| • |
Installationsplattformen:
Dieser Patch kann auf folgenden Systemen installiert werden:
| • | Microsoft Windows NT 4.0 Server Service Pack 6a |
| • | Microsoft Windows NT 4.0 Terminal Server Edition Service Pack 6 |
| • | Windows 2000 Service Pack 4 und Service Pack 3 |
| • | Microsoft Windows XP Gold und Service Pack 1 |
| • | Microsoft Windows Server 2003 |
Aufnahme in zukünftige Service Packs:
Die Fehlerbehebung für dieses Problem wird in Windows XP Service Pack 2 und Windows Server 2003 Service Pack 1 enthalten sein.
Neustart erforderlich: Ja
Deinstallation des Patches möglich: Ja
Frühere Patches: Keine
Überprüfung der Patchinstallation:
| • | Windows NT 4.0 Server: Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, stellen Sie sicher, dass alle im Microsoft Knowledge Base-Artikel 824105 aufgelisteten Dateien auf dem System vorhanden sind. |
| • | Windows NT 4.0, Terminal Server Edition: Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, stellen Sie sicher, dass alle im Microsoft Knowledge Base-Artikel 824105 aufgelisteten Dateien auf dem System vorhanden sind. |
| • | Windows 2000: Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, stellen Sie sicher, dass folgender Registrierungsschlüssel auf dem Computer erstellt wurde: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB824105. Um die einzelnen Dateien zu überprüfen, verwenden Sie die Informationen zu Datum, Uhrzeit und Version der Dateiliste im Knowledge Base-Artikel 824105. |
| • | Windows XP Gold: Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, stellen Sie sicher, dass folgender Registrierungsschlüssel auf dem Computer erstellt wurde: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB824105. Um die einzelnen Dateien zu überprüfen, verwenden Sie die Informationen zu Datum, Uhrzeit und Version der Dateiliste im Knowledge Base-Artikel 824105. |
| • | Windows XP Service Pack 1: Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, stellen Sie sicher, dass folgender Registrierungsschlüssel auf dem Computer erstellt wurde: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB824105. Um die einzelnen Dateien zu überprüfen, verwenden Sie die Informationen zu Datum, Uhrzeit und Version der Dateiliste im Knowledge Base-Artikel 824105. |
| • | Windows Server 2003: Um zu überprüfen, ob der Patch auf dem Computer installiert wurde, stellen Sie sicher, dass folgender Registrierungsschlüssel auf dem Computer erstellt wurde: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB824105. Um die einzelnen Dateien zu überprüfen, verwenden Sie die Informationen zu Datum, Uhrzeit und Version der Dateiliste im Knowledge Base-Artikel 824105. |
Vorsichtsmaßnahmen: Keine
Lokalisierung:
Lokalisierte Versionen der Patches sind unter den im Abschnitt "Verfügbarkeit des Patches" genannten Adressen verfügbar.
Weitere Sicherheitspatches:
Patches für andere Sicherheitsrisiken sind unter den folgenden Adressen erhältlich:
| • | Sicherheitspatches sind im Microsoft Download Center verfügbar und können am einfachsten durch eine Schlüsselwortsuche nach dem Begriff "security_patch" ermittelt werden. |
| • | Patches für Kundenplattformen können Sie auf der Website Windows Update abrufen. |
Sonstige Informationen
Danksagung:
Microsoft dankt Mike Price von Foundstone Labs, der dieses Problem an uns gemeldet und zum Schutz unserer Kunden mit uns zusammengearbeitet hat.
Support:
| • | Der Microsoft Knowledge Base-Artikel 824105 befasst sich genauer mit diesem Sicherheitsrisiko und ist etwa 24 Stunden nach Erscheinen dieses Bulletins erhältlich. Knowledge Base-Artikel finden Sie auf der Website zum Microsoft-Onlinesupport. |
| • | Technischer Support ist über Microsoft-Produktsupport erhältlich. Supportanrufe zu Sicherheitspatches sind kostenlos. |
Sicherheitsressourcen:
Die Website Microsoft TechNet-Sicherheit bietet zusätzliche Informationen zur Sicherheit der Microsoft-Produkte.
Verzichtserklärung:
Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.
Revisionen:
| • | V1.0 (03.09.03): Veröffentlichung des Bulletins |