VulDB: Microsoft Windows ASN.1 Double Free Pufferüberlauf
Allgemein
scipID: 610
Betroffen: Microsoft Windows 98, 98SE, ME, NT 4.0, 2000, XP, Server 2003
Veröffentlicht: 13.04.2004 (Foundstone Labs und Qualys)
Risiko: 
sehr kritisch
Beschreibung
Microsoft Windows ist eine sehr beliebte Betriebssystemreihe der redmonder Firma Microsoft. Das grafische Betriebssystem stellt eine Weiterentwicklung des zeilenbasierten MS DOS dar. Microsoft weist in ihrem Security Bulletin MS04-011 auf einen kumulativen Patch für die aktuellen Windows-Betriebssysteme hin. Durch die Ausnützung dieser von Foundstone Labs und Qualys gefundenen Pufferüberlauf-Schwachstelle der ASN.1-Bibliothek kann ein Angreifer eine Denial of Service durchführen oder theoretisch gar beliebigen Programmcode ausführen. Betroffen sind alle Windows-Versionen. Bisher sind keine technischen Details oder ein Exploit bekannt. Microsoft hat noch am gleichen Tag, an dem das Security Bulletin publiziert wurde, einen Patch – unter anderem auch über das Auto-Update neuerer Windows-Versionen – zur Verfügung gestellt. Diese gilt es umgehend zu installieren.
Da noch nicht genau bekannt ist, inwiefern dieser Angriff konstruktiv über das Netzwerk ausgenutzt werden kann und auch noch keine Exploits bekannt sind, sind noch keine Horror-Szenarien denkbar. Dies kann sich aber, sollten die schlimmsten Befürchtungen wahr werden, innert weniger Tagen eintreffen. An konstruktiven Angriffen über das Netzwerk sind praktisch alle Angreiferschichten interessiert und es werden deshalb Hacker auf der ganzen Welt an der Analyse der Schwachstelle arbeiten. Dieses Problem werden vor allem Anbieter von Server zu spüren bekommen, sobald ein entsprechender Exploit erschienen ist. Skript-Kiddies und Cracker könnten die neuen Möglichkeiten für ihren Vorteil nutzen wollen. Epidemische Auswirkungen wie damals mit dem RPC DCOM-Pufferüberlauf, der W32.Blaster.Worm ausgenutzt hat, sind durchaus denkbar. Entsprechend wichtig ist das unverzügliche Umsetzen der erforderlichen Gegenmassnahmen.
Exploiting
Klasse: Pufferüberlauf
Lokal: Ja
Remote: Ja
Exploit: http://www.securityfocus.com/bid/10118/exploit/
Milw0rm: –
Nessus: –
ATK: –
Gegenmassnahmen
Status: Es wurde ein Patch herausgegeben.
Bestätigung: –
Massnahme: Den freigegebenen Patch einspielen.
Link: http://windowsupdate.microsoft.com
Snort: –
Pattern: –
Quellen
Advisory: http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
CVE: CVE-2004-0123
OSVDB: –
Securityfocus: 10118
Secunia: 11064
X-Force: 15713
Securitytracker: 1009754
VUPEN: –
Securiteam: –
Tecchannel: –
Heise: 46474
smSS: smSS 19. April 2004
Andere: http://www.foundstone.com/products/sa/fs-sa-04-13-04.pdf
Andere: http://www.heise.de/newsticker/meldung/46489
Buchtipp: George Kurtz, Stuart McClure und Joel Scambray (2002), Das Anti-Hacker-Buch, mitp, ISBN 3826608453 (amazon.de)
