Thema: Microsoft-Windows-DNS-Server führt Schadcode aus

[SiLæncer]

Durch eine Schwachstelle im DNS-Serverdienst von Microsoft können Angreifer übers Netz unter Umständen die vollständige Kontrolle über das System übernehmen. Laut einem Fehlerbericht von Microsoft führen bestimmte manipulierte RPC-Pakete an den DNS-Dienst zu einem Pufferüberlauf, der sich zum Einschleusen von beliebigen Schadcode nutzen lässt, den der Dienst mit SYSTEM-Privilegien ausführt. Nach Angaben von Microsoft wird die Lücke bereits aktiv ausgenutzt. Einen Patch für den Programmierfehler gibt es bislang offenbar noch nicht.

Der Microsoft-DNS-Server ist Teil von Windows 2000 SP 4 sowie Windows Server 2003 mit SP1 und SP2 und nicht standardmäßig aktiv. Microsoft empfiehlt, auf verwundbaren Systemen das RPC-Remote-Management für den DNS-Server-Dienst abzustellen. Dazu müssen Admins laut den Redmondern einen Registry-Eintrag unter HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters vom Typ DWORD mit dem Namen RpcProtocol und dem Wert 4 anlegen. Als weitere Handlungsmöglichkeit führt Microsoft an, auf Netzwerkebene den Zugang zu den TCP-Ports 1024 bis 5000 für RPC-Pakete auf vertrauenswürdige IP-Adressen einzuschränken.

Siehe dazu auch:

    * Vulnerability in RPC on Windows DNS Server Could Allow Remote Code Execution (935964), Fehlerbericht von Microsoft -> http://www.microsoft.com/technet/security/advisory/935964.mspx

Quelle : www.heise.de

[SiLæncer]

RPC-Sicherheitsleck erlaubt Ausführung von Programmcode

In der vergangenen Woche hatte Microsoft auf ein nicht geschlossenes Sicherheitsloch im Windows Server hingewiesen. Das Risiko wurde von Redmond als wenig gefährlich klassifiziert. Zu dem Zeitpunkt war bereits Schadcode im Internet entdeckt worden. Wenige Tage später machte ein erster Wurm die Runde, der sich das Sicherheitsloch zu Nutze macht. Einen Patch gibt es bislang nicht.
Das Sicherheitsleck steckt in den RPC-Funktionen des DNS-Service vom Windows Server 2000 sowie 2003 und im Windows Small Business Server 2000 sowie 2003. Ein Angreifer kann das Sicherheitsleck ausnutzen, indem er speziell formatierte RPC-Pakete an einen entsprechend verwundbaren Server sendet. Dann kann Programmcode auf dem Server ausgeführt werden, womit ein Angreifer ein fremdes System unter seine Kontrolle bringen kann.

Microsoft hat das Sicherheitsloch als wenig gefährlich dargestellt, da der im Internet zu findende Schadcode noch keine starke Verbreitung gefunden habe. Die Sicherheitsspezialisten von McAfee und Symantec berichten hingegen übereinstimmend, dass bereits starke Wurmaktivitäten bemerkt wurden. Der Schädling öffnet eine Hintertür auf dem befallenen System und wartet auf weitere Instruktionen. Entsprechende Server könnten so für den Aufbau eines Botnets missbraucht werden, um etwa massenhaft Spam zu versenden.

Bis zum Erscheinen eines Patches empfiehlt Microsoft die Abschaltung des RPC-Dienstes, um eine Ausnutzung der Sicherheitslücke zu verhindern. Wann Microsoft einen Patch für den Windows Server 2000, 2003 sowie den Windows Small Business Server 2000 und 2003 bereitstellen wird, ist nicht bekannt. Möglicherweise erscheint der Patch erst am nächsten geplanten Patch-Day am 8. Mai 2007.

Quelle : www.golem.de

[SiLæncer]

Wurm macht sich RPC-Sicherheitsloch zu Nutze

Das offene Sicherheitsloch im Windows Server wird Microsoft voraussichtlich erst am nächsten geplanten Patch-Day schließen. Seit Anfang der Woche machen sich Würmer das Sicherheitsleck bereits zu Nutze. Dennoch plant Microsoft keinen außerplanmäßigen Patch für den Windows Server 2000, 2003 sowie für den Windows Small Business Server 2000 und 2003.

Im Internet wurden bereits Würmer gesichtet, die das RPC-Sicherheitsleck im Windows Server 2000, 2003 sowie im Windows Small Business Server 2000 und 2003 ausnutzen. Dazu sendet der Wurm ein speziell formatiertes RPC-Paket an den Server, öffnet dort eine Hintertür und wartet auf weitere Instruktionen. Infizierte Server könnten so für den Aufbau eines Botnets missbraucht werden, um etwa massenhaft Spam zu versenden.

Als das Sicherheitsleck bekannt wurde, war bereits Schadcode im Internet gesichtet worden. Aber selbst nach dem Auftauchen von zwei Internetwürmern will Microsoft ein Software-Update erst am nächsten regulären Patch-Day veröffentlichen, der für den 8. Mai anvisiert ist. Dies berichtet die News-Site InfoWorld.com.

Bis zum Erscheinen eines Patches empfiehlt Microsoft die Abschaltung des RPC-Dienstes, um eine Ausnutzung der Sicherheitslücke zu verhindern.

Quelle : www.golem.de