VulDB: Microsoft Windows LSASS spezielle Anfrage Pufferüberlauf
Allgemein
scipID: 599
Betroffen: Microsoft Windows 98, 98SE, ME, NT 4.0, 2000, XP, Server 2003
Veröffentlicht: 13.04.2004 (eEye Digital Security)
Risiko: 
sehr kritisch
Beschreibung
Microsoft Windows ist eine sehr beliebte Betriebssystemreihe der redmonder Firma Microsoft. Das grafische Betriebssystem stellt eine Weiterentwicklung des zeilenbasierten MS DOS dar. Microsoft weist in ihrem Security Bulletin MS04-011 auf einen kumulativen Patch für die aktuellen Windows-Betriebssysteme hin. Durch die Ausnützung dieser von eEye Digital Security gefundenen Pufferüberlauf-Schwachstelle in LSASS (Local Security Authority Subsystem Service) ist es einem Angreifer möglich, eine Denial of Service-Attacke durchzuführen oder gar beliebigen Programmcode mit System-Rechten auszuführen. Es wurde berichtet, dass der Fehler nur unter Microsoft Windows 2000 und XP remote ausgenutzt werden kann. Ein Exploit wurde in kompilierter Form und als C-Quelltext rund 2 Wochen nach Bekanntwerden der Schwachstelle auf Full-Disclosure publiziert [http://users.volja.net/exceed/RLsasrv.zip]. Dieser lässt auf dem Zielsystem nach einigen Sekunden ein Shutdown durchführen. Um diesen Umstand zu verhindern, kann die Eingabe von "shutdown -a" herangezogen werden. Microsoft hat noch am gleichen Tag, an dem das Security Bulletin publiziert wurde, einen Patch – unter anderem auch über das Auto-Update neuerer Windows-Versionen – zur Verfügung gestellt. Diese gilt es umgehend zu installieren. Als Workaround wird empfohlen nicht erforderliche Ports mittels Firewalling kommunikationsuntauglich zu machen.
Da noch nicht genau bekannt ist, inwiefern dieser Angriff konstruktiv über das Netzwerk ausgenutzt werden kann und auch noch keine Exploits bekannt sind, sind noch keine Horror-Szenarien denkbar. Dies kann sich aber, sollten die schlimmsten Befürchtungen wahr werden, innert weniger Tagen oder gar Stunden eintreffen. An konstruktiven Angriffen über das Netzwerk sind praktisch alle Angreiferschichten interessiert und es werden deshalb Hacker auf der ganzen Welt an der Analyse der Schwachstelle arbeiten. Epidemische Auswirkungen wie damals mit dem RPC DCOM-Pufferüberlauf, der W32.Blaster.Worm ausgenutzt hat, sind durchaus denkbar. Entsprechend wichtig ist das unverzügliche Umsetzen der erforderlichen Gegenmassnahmen.
Exploiting
Klasse: Pufferüberlauf
Lokal: Ja
Remote: Ja
Exploit: http://users.volja.net/exceed/RLsasrv.zip
Milw0rm: –
Nessus: 12209 (Name: Microsoft Hotfix for KB835732 (SMB check), Risk: Critical)
ATK: –
Gegenmassnahmen
Status: Es wurde ein Patch herausgegeben.
Bestätigung: –
Massnahme: Den freigegebenen Patch einspielen.
Link: http://windowsupdate.microsoft.com
Snort: 9419 (SPECIFIC-THREATS sasser attempt)
Pattern: |EC 03 00 00|
Quellen
Advisory: http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
CVE: CVE-2003-0533
OSVDB: –
Securityfocus: 10108
Secunia: 11064
X-Force: 15699
Securitytracker: –
VUPEN: –
Securiteam: http://www.securiteam.com/windowsntfocus/5YP0C15CKY.html
Tecchannel: –
Heise: 46474
smSS: smSS 19. April 2004
Andere: http://www.eeye.com/html/Research/Advisories/AD20040413C.html
Andere: http://www.heise.de/newsticker/meldung/46489
Buchtipp: Marc Ruef, Marko Rogge, Uwe Velten und Wolfram Gieseke (2002), Hacking Intern – Angriffe, Strategien, Abwehr, Data Becker, ISBN 381582284X (amazon.de)
