VulDB: Microsoft Windows 2000, XP und Server 2003 Plug-and-Play Dienst Pufferüberlauf
Allgemein
scipID: 1789
Betroffen: Microsoft Windows 2000, XP und Server 2003
Veröffentlicht: 11.10.2005 (eEye Digital Security)
Risiko: 
kritisch
Beschreibung
Die beiden Betriebssysteme Microsoft Windows 2000 und XP sind eine Weiterentwicklung des professionellen Microsoft Windows NT Systems. Im Microsoft Security Bulletin MS05-047 ist nachzulesen, dass der Plug-and-Play Dienst eine Pufferüberlauf-Schwachstelle aufweist. Bei Windows 2000 und XP mit Service Pack 1 kann ein nicht-authentisierter Benutzer beliebigen Programmcode ausführen lassen. Bei Windows XP mit Service Pack 2 hingegen ist eine vorgängige Authentisierung erforderlich. Bisher sind keine technischen Details oder Exploits zur Schwachstelle bekannt. Als Workaround listet Microsoft auf, dass Verbindungen zu den NetBIOS-Ports (tcp/139 und 445) unterbunden werden sollten. Dies kann mit der hauseigenen Internetverbindungsfirewall, einer dedizierten Desktop Firewall oder einer autonomen Firewall-Lösung geschehen.
Dieses Problem könnte durchaus zu einem Renner bei Angreifern werden, wenn ein handlicher Exploit herausgegeben wird. Das Ausbleiben eines absoluten Horror-Szenarios ist deshalb gegeben, da "nur" Windows 2000 sowie Windows XP unter gewissen Umständen betroffen sind. Dies soll aber nicht über die Gefahr hinwegtäuschen, die in derlei Umgebungen zu finden ist.
Exploiting
Klasse: Pufferüberlauf
Lokal: Ja
Remote: Ja
Exploit: –
Milw0rm: –
Nessus: 21193 (Name: Vulnerability in Plug and Play Could Allow Remote Code Execution and Local Elevation of Privilege (905749) – Network Check, Risk: Critical)
ATK: –
Gegenmassnahmen
Status: Es wurde ein Patch herausgegeben.
Bestätigung: –
Massnahme: Den freigegebenen Patch einspielen.
Link: http://windowsupdate.microsoft.com
Snort: 4334 (NETBIOS DCERPC NCACN-IP-TCP umpnpmgr PNP_GetDeviceList attempt)
Pattern: |05 00 00|
Quellen
Advisory: http://www.microsoft.com/technet/security/Bulletin/MS05-047.mspx
CVE: CVE-2005-2120
OSVDB: 18830
Securityfocus: 15065
Secunia: 17166
X-Force: –
Securitytracker: 1015042
VUPEN: –
Securiteam: http://www.securiteam.com/windowsntfocus/6G00B0KEBG.html
Tecchannel: –
Heise: 64814
smSS: smSS 19. Oktober 2005
Buchtipp: Marc Ruef, Marko Rogge, Uwe Velten und Wolfram Gieseke (2002), Hacking Intern – Angriffe, Strategien, Abwehr, Data Becker, ISBN 381582284X (amazon.de)
