Microsoft Windows NT 4.0/2000/XP/Server 2003 WINS Server Pufferüberlauf

VulDB: Microsoft Windows NT 4.0/2000/XP/Server 2003 WINS Server Pufferüberlauf

Allgemein

Microsoft

scipID: 509
Betroffen: Microsoft Windows NT 4.0, 2000, XP und Server 2003
Veröffentlicht: 10.02.2004
Risiko: sehr kritisch
Eintrag: 100% komplett
Erstellt: 12.02.2004
Aktualisiert: 03.09.2012

Beschreibung

Microsoft Windows ist eine sehr beliebte Betriebssystemreihe der redmonder Firma Microsoft. Das grafische Betriebssystem stellt eine Weiterentwicklung des zeilenbasierten MS DOS dar. Die Firma Qualys hat eine Pufferüberlauf-Schwachstelle im WINS-Server gefunden. Dieser ist nicht in der Lage, zu lange Pakete korrekt zu verarbeiten. Darüber ist eine Denial of Service-Attacke oder gar das Ausführen beliebigen Programmcodes möglich. Bei Microsoft Windows Server 2003 ist angeblich aufgrund des Pufferüberlauf-Schutzes nur die Denial of Service gegeben. Laut Microsoft ist Windows NT und 2000 gar nicht gegen die Schwachstelle verwundbar, da die korrupten Pakete aufgrund des fehlerhaften Aufbaus sowieso verworfen werden würde. Aber trotzdem hat Microsoft einen Patch für diese angeblich nicht verwundbaren Systeme herausgegeben. Bisher ist kein Exploit oder detaillierte Informationen zur technischen Umsetzung der Schwachstelle bekannt. Microsoft hat das Problem durch einen entsprechenden Patch für die betroffenen Systeme behoben. Als Alternative oder Ergänzung sollte unerwünschter Verkehr mittels Firewalling blockiert werden. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (3903), Secunia (SA10835), SecurityFocus (BID 9624) und X-Force (15037) dokumentiert. Weiterführende Informationen auf Deutsch finden sich auf heise.de.

Für den Vulnerability Scanner Nessus wurde am 06.12.2004 ein Plugin mit der ID 15912 (MS04-006: WINS Server Remote Overflow (830352) (uncredentialed check)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows zugeordnet, im Kontext remote ausgeführt und auf den Port 137 angewendet.

Auch diese Schwachstelle scheint sehr schwerwiegend und dazu prädestiniert, eine Wurm-Welle wie beim Blaster nach sich zu ziehen. Es scheint so, als würde Microsoft der schwerwiegende Pufferüberlauf in den ASN.1-Bibliotheken so zu schaffen machen, dass sie mit allen Mitteln versuchen den WINS-Fehler herunterzuspielen. So wurde es relativiert, dass bei Server 2003 höchstens eine Denial of Service möglich wäre und angeblich seien NT und 2000 ganz und gar nicht betroffen. Und dann ist es trotzdem sehr verwunderlich, warum man präventiv entsprechende Patches herausgibt. Die Zukunft wird zeigen, was findige Köpfe noch aus dieser Schwachstelle alles herausholen werden.

CVSS

Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]

Access Vector	Access Complexity	Authentication	Confidentiality	Integrity	Availability
Local	High	Multiple	None	None	None
Adjacent	Medium	Single	Partial	Partial	Partial
Network	Low	None	Complete	Complete	Complete

Exploiting

Klasse: Pufferüberlauf
Auswirkungen: Programmcode ausführen
Lokal: Nein
Remote: Ja

Verfügbarkeit: Ja
Download: cvsweb.nessus.org

Nessus ID: 15912
Nessus Name: MS04-006: WINS Server Remote Overflow (830352) (uncredentialed check)
Nessus Risk: Critical
Nessus Family: Windows
Nessus Context: remote
Nessus Port: 137