Menü
Alert!

Neues Loch in Windows RPC-Dienst

Von
vorlesen Drucken Kommentare lesen 665 Beiträge

Nach Angaben von X-Force, den Sicherheitsspezialisten des Herstellers Internet Security Systems, ist im RPC/DCOM-Dienst unter Windows 2000 und XP ein weiterer Fehler enthalten, den auch der aktuelle Patch MS03-039 (KB 824146) nicht beseitigt. Der derzeit kursierende Exploit, der eigentlich Schwachstellen in Windows-Systeme ausnutzt, die nicht den Hotfix 824146 eingespielt haben, bringt auch gepatchte Systeme zum Absturz. Auf ungepatchten System hingegen legt der Exploit sogar ein neues Benutzerkonto an, über das Angreifer Zugriff auf das System erhalten.

X-Force widerspricht in seinem Advisory Meldungen, in denen behauptet wird, der Absturz beruhe auf Nebeneffekten der im Bulletin MS03-039 beschriebenen drei Sicherheitslücken. Vielmehr sei der Absturz auf die fehlerhafte Behandlung vieler zeitgleicher RPC-Anfragen (Multi-Threaded Race Condition) zurückzuführen. Dadurch verbraucht der RPCSS-Dienst zu viel Speicher und stürzt ab. In der Folge rebootet das NT-Autoritätssystem, wie schon bei Lovesan, den Rechner.

Auch CERT/CC betont in einer Vulnerability Note die Verwundbarkeit gepatchter Systeme. Da es für diesen neuen Fehler noch kein Sicherheits-Update gibt, empfiehlt CERT/CC die Ports zu sperren, über die ein Angriff erfolgen kann (TCP: 135, 139, 445, 593, UDP: 135, 137, 138, 445). Des Weiteren kann man DCOM abschalten, um mögliche Angriffe zu erschweren. Microsoft beschreibt in seiner Knowledge Base, wie das für Windows-Systeme geht. Ein einfaches Tool zum Abschalten des DCOM-Dienstes ist der DCOMbobulator. In produktiven Umgebungen sollte man allerdings vorher Tests durchführen, um den Betrieb nicht zu gefährden.

Siehe dazu auch: (dab)

Anzeige
Anzeige