« vorheriges nächstes »
Seiten: [1]   Nach unten

Autor Thema: SMB-Lücke in Windows 2000 und Windows NT 4  (Gelesen 409 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 191383
  • Ohne Input kein Output
    • DVB-Cube
SMB-Lücke in Windows 2000 und Windows NT 4
« am: 07 Juli, 2005, 19:02 »
Eine im Januar 2004 entdeckte Lücke in Microsofts SMB-Protokoll ermöglicht es einem Angreifer, bei Windows 2000/NT ohne jegliche Authentifizierung den Status aller Windows-Dienste und das Event-Log abzurufen.

Die Lücke beruht auf den sogenannten Null-Sessions des SMB-Protokolls. Das sind SMB-Zugriffe, die keine Authentifizierung erfordern. In solchen Null-Sessions sind über Named Pipes unter anderem anonyme Aufrufe von Remote Procedure Calls (RPC) möglich, die sich über Named Pipes erreichen lassen. Eine solche Named Pipe hat beispielsweise folgende Form:

\\<rechner>\IPC$\pipe\browser

Jean-Baptiste Marchard warnt in einem Advisory, dass über solche Named Pipes der Service Control Manager (SCM) und der Eventlog-Dienst anonym zu erreichen sind. Laut Marchard könnte ein anonymer Benutzer sogar Dienste kontrollieren, die die Gruppe "Jeder" (EVERYONE) starten oder beenden darf. Des weiteren hat er Zugriff auf das Applikations und System-Eventlog, nicht jedoch auf das Security-Log, das spezielle Rechte erfordert.

Prinzipiell stellen auch neuere Windows-Versionen Named Pipes für RPC-Dienste bereit -- die beschriebenen Sicherheitslecks beziehen sich aber speziell nur auf Windows NT 4 und Windows 2000. Für Windows 2000 mit Service Pack 4 hat Microsoft Ende Juni 2005 nun einen Fix in das Rollup Package 1 implementiert.

Marchard beschreibt in seinem Advisory als Workaround diverse Registry-Einträge, die die anonymen Zugriffe auch bei Windows NT 4 unterbinden. In den Registry-Zweigen HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\ und HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\System\ ist jeweils ein REG_DWORD "RestrictGuestAccess" anzulegen und auf 1 zu setzen. Um das anonyme Starten und Beenden von Diensten zu unterbinden, sollte aus der Systemgruppe "Jeder" die SID "Anonym" entfernt werden.

Zugriffe auf SMB erfolgen über die TCP-Ports 139 (SMB über NetBIOS) oder 445 (SMB über TCP). Diese Ports sollten Administratoren auf Firewalls grundsätzlich sperren. Der Nessus Schwachstellen-Scanner wurde um entsprechende Plugins erweitert, die diese Sicherheitslücken erkennen.

Quelle und Links : http://www.heise.de/newsticker/meldung/61482

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )
Seiten: [1]   Nach oben
« vorheriges nächstes »