VulDB: Microsoft Windows Path Canonicalisation Pufferüberlauf [CVE-2008-4250]
Allgemein
scipID: 3860
Betroffen: Microsoft Windows – Diverse Versionen
Veröffentlicht: 23.10.2008
Risiko: 
sehr kritisch
Eintrag: 100% komplett
Erstellt: 29.10.2008
Aktualisiert: 03.09.2012
Beschreibung
Microsoft Windows ist ein Markenname für Betriebssysteme der Firma Microsoft. Ursprünglich war Microsoft Windows eine grafische Erweiterung des Betriebssystems MS-DOS (wie zum Beispiel auch GEM oder PC/GEOS), inzwischen hat Microsoft das DOS-Fundament aber völlig aufgegeben und setzt ausschließlich auf Windows-NT-Betriebssystemversionen. Unlängst meldete Microsoft eine massive Schwachstelle in der Datei netapi32.dll, bei der durch eine fehlerhafte Behandlung von Pfaden eine Pufferüberlauf auftrat, der mittels RPC ausgenutzt werden konnte. Nach einigen Wirren über den effektiven Impact und die Reliablitlity der Schwachstelle, wurde bekannt dass auf einigen Zielsystemen ein authorisieter Benutzer notwendig ist (z.B. Vista/Server 2008) während die Schwachstelle anderweitig auch ohne legitimen Benutzer ausgenutzt werden konnte. Bei einem erfolgreichen Exploit kann ein Angreifer beliebigen Code zur Ausführung bringen. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (49243), Secunia (SA32326), SecurityFocus (BID 31874), SecurityTracker (ID 1021091) und X-Force (46040) dokumentiert.
Für den Vulnerability Scanner Nessus wurde am 23.10.2008 ein Plugin mit der ID 34476 herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird im Kontext local ausgeführt und auf den Port 139 angewendet.
Diese Schwachstelle wurde am 4. November auf die Stufe “sehr kritisch” eskaliert
Viel Verwirrung herrschte im Umfeld dieser Schwachstelle, vor allem im Anbetracht der effektiven Ausnutzungsgefahr. Nachdem ursprünglich von einem 0-Day die Rede war, der lediglich spezifische regional abhängige Versionen betreffen sollte und zudem einen authorisierten Benutzer erfordern würde, ist mittlerweile bekannt dass die Schwachstelle relativ breit gestreut eingesetzt werden kann. Wir empfehlen daher das sofortige Einspielen entsprechender Updates sowie das Ergreifend zusätzlicher Massnahmen (z.B. Firewalling) zur Minimierung der Exposition schützenswerter Systeme.
CVSS
Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: Pufferüberlauf
Auswirkungen: Programmcode ausführen
Lokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Download: exploit-db.com
Nessus ID: 34476
Nessus Risk: Critical
Nessus Context: local
Nessus Port: 139
Exploit-DB: 7132
Gegenmassnahmen
Empfehlung: Upgrade
0-Day Time: 0 Tage seit gefunden
Patch: MS08-067
Timeline
25.09.2008 | CVE zugewiesen
23.10.2008 | Advisory veröffentlicht
23.10.2008 | Nessus Plugin veröffentlicht
23.10.2008 | OSVDB Eintrag erstellt
29.10.2008 | VulDB Eintrag erstellt
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: MS08-067
Firma: Microsoft
OSVDB: 49243
CVE: CVE-2008-4250 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 32326
SecurityFocus: 31874
SecurityTracker: 1021091
X-Force: 46040
Vupen: ADV-2008-2902
