VulDB: Microsoft Windows WINS korruptes Replikation-Paket Pufferüberlauf
Allgemein
scipID: 1011
Betroffen: Microsoft Windows
Veröffentlicht: 29.11.2004 (Nicolas Waisman, Immunity)
Risiko: 
kritisch
Beschreibung
Microsoft Windows ist eine sehr beliebte Betriebssystemreihe der redmonder Firma Microsoft. Das grafische Betriebssystem stellt eine Weiterentwicklung des zeilenbasierten MS DOS dar. Der WINS-Dienst wird genutzt, um über Broadcast-Nachrichten einen NetBIOS-Computernamen in eine IP-Adresse umzuwandeln. Dazu ist ein WINS-Server erforderlich, der Standardmässig den Dienst auf dem Port tcp/42 anbietet. Nicolas Waisman von Immunity entdeckte eine Pufferüberlauf-Schwachstelle, die es einem Angreifer erlaubt, mittels korrupten Replikations-Paketen den Speicher so zu überschreiben, dass beliebiger Programmcode auf einem verwundbaren System ausgeführt werden kann. Detaillierte technische Informationen sind im Advisory enthalten und wurden unter anderem auf anderen Security-Seiten wie SecuriTeam.com übernommen. Das Vorhandensein eines funktionierenden Exploits ist bis dato nicht bekannt. Die Schwachstelle betrifft nur Windows-Systeme, die als WINS-Server fungieren, was standardmässig nicht der Fall ist. Als Workaround wird empfohlen, die Kommunikation zwischen WINS-Servern mittels IPsec zu sichern und unerwünschte Verbindungsanfragen mittels Firewalling zu unterbinden. Microsoft hat mit dem Patchday im Dezember 2004 dem Problem mit einem Bugfix für diesen und einen neu publizierten Fehler in WINS Rechnung getragen [http://www.microsoft.com/technet/security/bulletin/ms04-045.mspx].
Eine unschöne Schwachstelle, die hier die Windows-Welt heimsucht. Aber wirklich unschön sind die Hintergründe des Fehlers. So wurde die Schwachstelle schon im Mai dieses Jahres im Vulnerability Sharing Club von Immunity veröffentlicht. Dies ist eine geschlossene Benutzergruppe zum Austausch von Informationen zu Sicherheitslücken. Der Beitritt kostet 50’000 US-Dollar und bleibt daher einer Vielzahl an kleineren Unternehmen und Privatpersonen verwehrt. Der Austausch von sicherheitsrelevanten Informationen in einem solch elitären Kreis ist aus Sicherheitssicht total unsinnig, denn nur wer Geld hat, kann an brisante und wichtige Informationen kommen. Und dies lange, bevor der Rest der IT-Welt darüber informiert wird. Die Zeitspanne für das mögliche Ausnutzen der Schwachstelle durch ein Mitglied des Clubs beträgt unter Umständen – so wie in diesem Fall auch – mehrere Monate. Auch weiterhin postulieren wird deshalb, dass stets zuerst der Hersteller informiert wird, und nach Absprache einige Tage oder Wochen später – bestmöglich nach dem Erscheinen eines Patches – die Schwachstelle publik gemacht wird.
Exploiting
Klasse: Pufferüberlauf
Lokal: Ja
Remote: Ja
Exploit: –
Milw0rm: –
Nessus: –
ATK: –
Gegenmassnahmen
Status: Hersteller wurde über die Schwachstelle informiert.
Bestätigung: –
Massnahme: Mittels Firewalling die Kommunikation zu den Ports bzw. Hosts einschränken.
Link: http://www.microsoft.com/technet/security/bulletin/ms04-045.mspx
Snort: 3017 (EXPLOIT WINS overflow attempt)
Pattern: –
Quellen
Advisory: http://www.immunitysec.com/downloads/instantanea.pdf
CVE: CVE-2004-1080
OSVDB: 12378
Securityfocus: 11763
Secunia: 13328
X-Force: –
Securitytracker: 1012516
VUPEN: –
Securiteam: http://www.securiteam.com/windowsntfocus/6X00P2ABPA.html
Tecchannel: –
Heise: 53729
smSS: smSS 19. Dezember 2004
Andere: http://xforce.iss.net/xforce/alerts/id/184
Andere: http://www.immunitysec.com/downloads/instantanea.sxw
Buchtipp: Marc Ruef, Marko Rogge, Uwe Velten und Wolfram Gieseke (2002), Hacking Intern – Angriffe, Strategien, Abwehr, Data Becker, ISBN 381582284X (amazon.de)
