VulDB: Microsoft Windows Path Canonicalisation Schwachstelle
Allgemein
scipID: 3860
Betroffen: Microsoft Windows – Diverse Versionen (siehe Advisory)
Veröffentlicht: 23.10.2008 (Microsoft)
Risiko: 
sehr kritisch
Beschreibung
Microsoft Windows ist ein Markenname für Betriebssysteme der Firma Microsoft. Ursprünglich war Microsoft Windows eine grafische Erweiterung des Betriebssystems MS-DOS (wie zum Beispiel auch GEM oder PC/GEOS), inzwischen hat Microsoft das DOS-Fundament aber völlig aufgegeben und setzt ausschließlich auf Windows-NT-Betriebssystemversionen. Unlängst meldete Microsoft eine massive Schwachstelle in der Datei netapi32.dll, bei der durch eine fehlerhafte Behandlung von Pfaden eine Pufferüberlauf auftrat, der mittels RPC ausgenutzt werden konnte. Nach einigen Wirren über den effektiven Impact und die Reliablitlity der Schwachstelle, wurde bekannt dass auf einigen Zielsystemen ein authorisieter Benutzer notwendig ist (z.B. Vista/Server 2008) während die Schwachstelle anderweitig auch ohne legitimen Benutzer ausgenutzt werden konnte. Bei einem erfolgreichen Exploit kann ein Angreifer beliebigen Code zur Ausführung bringen.
- Diese Schwachstelle wurde am 4. November auf die Stufe "sehr kritisch" eskaliert ***
Viel Verwirrung herrschte im Umfeld dieser Schwachstelle, vor allem im Anbetracht der effektiven Ausnutzungsgefahr. Nachdem ursprünglich von einem 0-Day die Rede war, der lediglich spezifische regional abhängige Versionen betreffen sollte und zudem einen authorisierten Benutzer erfordern würde, ist mittlerweile bekannt dass die Schwachstelle relativ breit gestreut eingesetzt werden kann. Wir empfehlen daher das sofortige Einspielen entsprechender Updates sowie das Ergreifend zusätzlicher Massnahmen (z.B. Firewalling) zur Minimierung der Exposition schützenswerter Systeme.
Exploiting
Klasse: Pufferüberlauf
Lokal: Ja
Remote: Ja
Exploit: http://milw0rm.com/exploits/6824
Milw0rm: 7132
Nessus: 34477 (Name: Microsoft Windows Server Service Crafted RPC Request Handling Unspecified Remote Code Execution (958644) – Network check, Risk: Critical)
ATK: –
Gegenmassnahmen
Status: Es wurde ein Patch herausgegeben.
Bestätigung: –
Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
Snort: 14896 (NETBIOS-DG SMB v4 srvsvc NetrpPathCononicalize unicode path cononicalization stack overflow attempt)
Pattern: |11|
Quellen
Advisory: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
CVE: CVE-2008-4250
OSVDB: –
Securityfocus: 31874
Secunia: 32326
X-Force: 46040
Securitytracker: 1021091
VUPEN: ADV-2008-2902
Securiteam: –
Tecchannel: –
Heise: –
smSS: smSS 19. November 2008
Buchtipp: Joel Scambray und Stuart McClure (2002), Das Anti-Hacker-Buch für Windows, mitp, ISBN 3826608232 (amazon.de)
