VulDB: Microsoft Windows SSL spezielle PCT-Nachricht Pufferüberlauf
Allgemein
scipID: 601
Betroffen: Microsoft Windows 98, 98SE, ME, NT 4.0, 2000, XP, Server 2003
Veröffentlicht: 13.04.2004 (ISS X-Force)
Risiko: 
sehr kritisch
Beschreibung
Microsoft Windows ist eine sehr beliebte Betriebssystemreihe der redmonder Firma Microsoft. Das grafische Betriebssystem stellt eine Weiterentwicklung des zeilenbasierten MS DOS dar. Microsoft weist in ihrem Security Bulletin MS04-011 auf einen kumulativen Patch für die aktuellen Windows-Betriebssysteme hin. Durch die Ausnützung dieser von ISS gefundenen Pufferüberlauf-Schwachstelle in der SLL-Bibliothek von Microsoft Windows, ist es einem Angreifer möglich, beliebigen Programmcode mit Systemrechten auszuführen. Dazu ist eine spezielle PCT-Nachricht (Private Communications Transport) erforderlich. Rund einen Tag nach bekanntwerden der Schwachstelle wurde von David Barroso Berrueta ein in C geschriebener proof-of-concept Exploit namens sslbomb.c auf Bugtraq und Full-Disclosure publiziert, der jedoch nur eine Denial of Service umsetzt. Johnny Cyberpunk von der deutschen Gruppe "The Hackers Choice" (THC) hat einen voll funktionstüchtigen Exploit auf der Webseite als Binär-Datei zum Download bereitgestellt. Wie unter anderem Heise berichtete war Microsoft darum bemüht, den THC-Webserver abzustellen und so die Verbreitung der Schwachstelle zu unterbinden [http://www.heise.de/newsticker/meldung/46884]. Microsoft hatte noch am gleichen Tag, an dem das Security Bulletin publiziert wurde, einen Patch – unter anderem auch über das Auto-Update neuerer Windows-Versionen – zur Verfügung gestellt. Diese gilt es umgehend zu installieren. Als Workaround wird empfohlen nicht erforderliche Ports mittels Firewalling kommunikationsuntauglich zu machen.
Dieses Problem werden vor allem Anbieter von Server mit SSL-Unterstützung zu spüren bekommen. Vor allem Webserver und Mailanbieter müssen sich in Acht nehmen und die erforderlichen Gegenmassnahmen schnellstmöglich umsetzen. Nach Erscheinen erster konstruktiver Exploits muss mit Massen-Defacements gerechnet werden.
Exploiting
Klasse: Pufferüberlauf
Lokal: Indirekt
Remote: Ja
Exploit: http://lists.netsys.com/pipermail/full-disclosure/2004-April/020082.html
Milw0rm: –
Nessus: 12204 (Name: Microsoft Hotfix for KB835732 IIS SSL check, Risk: Critical)
ATK: –
Gegenmassnahmen
Status: Es wurde ein Patch herausgegeben.
Bestätigung: –
Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: http://windowsupdate.microsoft.com
Snort: 3486 (WEB-MISC SSLv3 invalid data version attempt)
Pattern: |16 03|
Quellen
Advisory: http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
CVE: CVE-2004-0120
OSVDB: –
Securityfocus: 10115
Secunia: 11064
X-Force: 15712
Securitytracker: 1009777
VUPEN: –
Securiteam: –
Tecchannel: –
Heise: 46474
smSS: smSS 19. April 2004
Andere: http://xforce.iss.net/xforce/alerts/id/168
Andere: http://www.heise.de/newsticker/meldung/46489
Buchtipp: George Kurtz, Stuart McClure und Joel Scambray (2002), Das Anti-Hacker-Buch, mitp, ISBN 3826608453 (amazon.de)
