VulDB: Microsoft Windows XP/Vista/7/Server 2003/2008 Remote Desktop Service Pufferüberlauf
Allgemein
scipID: 4798
Betroffen: Microsoft Windows XP/Vista/7/Server 2003/2008
Veröffentlicht: 13.03.2012 (Luigi Auriemma)
Risiko: 
sehr kritisch
Eintrag: 100% komplett
Erstellt: 14.03.2012
Aktualisiert: 03.09.2012
Beschreibung
In Microsoft Windows XP/Vista/7/Server 2003/2008, ein Betriebssystem, wurde eine sehr kritische Schwachstelle entdeckt. Betroffen davon ist eine unbekannte Funktion der Komponente Remote Desktop Service. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Dadurch kann man Programmcode ausführen. Auswirkungen sind zu beobachten für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 13.03.2012 durch Luigi Auriemma als MS12-020 in Form eines Articles (Microsoft Technet) via ZDI (Zero Day Initiative) an die Öffentlichkeit getragen. Bereitgestellt wird das Advisory unter technet.microsoft.com. Die Veröffentlichung wurde in Zusammenarbeit mit dem Hersteller durchgeführt. Eine eindeutige Identifikation der Schwachstelle wird seit dem 09.11.2011 mit CVE-2012-0002 vorgenommen. Die Schwachstelle ist sehr beliebt, was mitunter auf ihre geringe Komplexität zurückzuführen ist. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. Historisch interessant ist diese Schwachstelle mitunter wegen ihrer speziellen Ausprägung.
Ein Exploit wurde durch Luigi Auriemma realisiert und 3 Tage nach dem Advisory veröffentlicht. Er wird als Proof-of-Concept gehandelt und gilt gemeinhin als eher zuverlässig. Der Download des Exploits kann von aluigi.org geschehen. Insgesamt 202 Tage schien es sich um eine nicht veröffentlichte Zero-Day Schwachstelle gehandelt zu haben. Für den Vulnerability Scanner Nessus wurde am 13.03.2012 ein Plugin mit der ID 58332 (MS12-020: Vulnerabilities in Remote Desktop Could Allow Remote Code Execution (2671387)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows : Microsoft Bulletins zugeordnet, im Kontext local ausgeführt und auf den Port 139 angewendet. Mitunter wurde ebenfalls auf Pastebin ein angeblich von Sabu entwickelter Exploit gepostet. Dieser setzt aber ein Python-Modul namens FreeRDP ein, welches aber nicht existiert. Es handelt sich dabei ziemlich sicher um einen Fake.
Die Schwachstelle lässt sich durch das Einspielen des Patches MS12-020 beheben. Dieser kann von technet.microsoft.com bezogen werden. Die Schwachstelle kann zusätzlich durch das Filtern von tcp/3389 (rdp) mittels Firewalling mitigiert werden. Als bestmögliche Massnahme wird das Einspielen des entsprechenden Patches empfohlen. Damit lassen sich alle Angriffe umfangreich verhindern. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (80000), Secunia (SA48395), SecurityFocus (BID 52353) und SecurityTracker (ID 1026790) dokumentiert. Auf Deutsch berichtet mitunter Heise zum Fall.Screenshot
CVSS
Base Score: 10.0 (CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: Pufferüberlauf
Auswirkungen: Programmcode ausführen
Lokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Zugang: öffentlich
Status: Proof-of-Concept
Zuverlässigkeit: 50%
Autor: Luigi Auriemma
Download: aluigi.org
Nessus ID: 58332
Nessus Name: MS12-020: Vulnerabilities in Remote Desktop Could Allow Remote Code Execution (2671387)
Nessus Family: Windows : Microsoft Bulletins
Nessus Context: local
Nessus Port: 139
Exploit-DB: 18606
Gegenmassnahmen
Empfehlung: Patch
Zuverlässigkeit: 99%
Reaction Time: 202 Tage seit gemeldet
0-Day Time: 202 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Exploit Delay Time: 3 Tage seit bekannt
Patch: MS12-020
Firewalling: tcp/3389 (rdp)
Timeline
24.08.2011 | Hersteller informiert
09.11.2011 | CVE zugewiesen
13.03.2012 | Advisory veröffentlicht
13.03.2012 | Gegenmassnahme veröffentlicht
13.03.2012 | Nessus Plugin veröffentlicht
14.03.2012 | VulDB Eintrag erstellt
15.03.2012 | OSVDB Eintrag erstellt
16.03.2012 | Exploit veröffentlicht
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: MS12-020
Person: Luigi Auriemma
Koordiniert: Ja
OSVDB: 80000
CVE: CVE-2012-0002 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 48395
SecurityFocus: 52353
SecurityTracker: 1026790
Heise: 1471341
Diverses: arstechnica.com
- Letzte Einträge
- Google Chrome Web Audio Handler Pufferüberlauf [CVE-2013-2845]
- Google Chrome Style Resolution Handler Pufferüberlauf [CVE-2013-2844]
- Google Chrome Speech Handler Pufferüberlauf [CVE-2013-2843]
- Google Chrome Widget Handler Pufferüberlauf [CVE-2013-2842]
- Google Chrome Pepper Resource Handler Pufferüberlauf [CVE-2013-2841]
- Statistiken
- Archiv
