VulDB: Microsoft Windows WINS Server lange Pakete Pufferüberlauf
Allgemein
scipID: 509
Betroffen: Microsoft Windows NT 4.0, 2000, XP und Server 2003
Veröffentlicht: 10.02.2004 (Qualys)
Risiko: 
sehr kritisch
Beschreibung
Microsoft Windows ist eine sehr beliebte Betriebssystemreihe der redmonder Firma Microsoft. Das grafische Betriebssystem stellt eine Weiterentwicklung des zeilenbasierten MS DOS dar. Die Firma Qualys hat eine Pufferüberlauf-Schwachstelle im WINS-Server gefunden. Dieser ist nicht in der Lage, zu lange Pakete korrekt zu verarbeiten. Darüber ist eine Denial of Service-Attacke oder gar das Ausführen beliebigen Programmcodes möglich. Bei Microsoft Windows Server 2003 ist angeblich aufgrund des Pufferüberlauf-Schutzes nur die Denial of Service gegeben. Laut Microsoft ist Windows NT und 2000 gar nicht gegen die Schwachstelle verwundbar, da die korrupten Pakete aufgrund des fehlerhaften Aufbaus sowieso verworfen werden würde. Aber trotzdem hat Microsoft einen Patch für diese angeblich nicht verwundbaren Systeme herausgegeben. Bisher ist kein Exploit oder detaillierte Informationen zur technischen Umsetzung der Schwachstelle bekannt. Microsoft hat das Problem durch einen entsprechenden Patch für die betroffenen Systeme behoben. Als Alternative oder Ergänzung sollte unerwünschter Verkehr mittels Firewalling blockiert werden.
Auch diese Schwachstelle scheint sehr schwerwiegend und dazu prädestiniert, eine Wurm-Welle wie beim Blaster nach sich zu ziehen. Es scheint so, als würde Microsoft der schwerwiegende Pufferüberlauf in den ASN.1-Bibliotheken so zu schaffen machen, dass sie mit allen Mitteln versuchen den WINS-Fehler herunterzuspielen. So wurde es relativiert, dass bei Server 2003 höchstens eine Denial of Service möglich wäre und angeblich seien NT und 2000 ganz und gar nicht betroffen. Und dann ist es trotzdem sehr verwunderlich, warum man präventiv entsprechende Patches herausgibt. Die Zukunft wird zeigen, was findige Köpfe noch aus dieser Schwachstelle alles herausholen werden.
Exploiting
Klasse: Pufferüberlauf
Lokal: Ja
Remote: Ja
Exploit: http://cvsweb.nessus.org/cgi-bin/cvsweb.cgi/~checkout~/nessus-plugins/scripts/smb_nt_ms04-006.nasl?content-type=text/plain
Milw0rm: –
Nessus: 15912 (Name: WINS Buffer Overflow (830352 – netbios check), Risk: Critical)
ATK: –
Gegenmassnahmen
Status: Es wurde ein Patch herausgegeben.
Bestätigung: –
Massnahme: Den freigegebenen Patch einspielen.
Link: http://windowsupdate.microsoft.com
Snort: 3195 (NETBIOS name query overflow attempt TCP)
Pattern:
Quellen
Advisory: http://www.microsoft.com/technet/security/bulletin/MS04-006.asp
CVE: CVE-2003-0825
OSVDB: 3903
Securityfocus: 9624
Secunia: 10835
X-Force: 15037
Securitytracker: –
VUPEN: –
Securiteam: http://www.securiteam.com/windowsntfocus/5LP0F0AC0I.html
Tecchannel: 2094
Heise: 44502
smSS: smSS 19. Februar 2004
Andere: http://www.qualys.com/docs/securityalerts/Qadvise-Microsoft-WINS-20040210.pdf
Buchtipp: Marc Ruef, Marko Rogge, Uwe Velten und Wolfram Gieseke (2002), Hacking Intern – Angriffe, Strategien, Abwehr, Data Becker, ISBN 381582284X (amazon.de)
