Gefahr durch RPC-Lücken in Windows [Update]
Ein veröffentlichter Exploit für das zweite RPC-Loch in Windows erhöht die Gefahr, dass ein Lovsan-Nachfolger auftaucht. Unbestätigten Berichten zufolge gibt es sogar ein drittes, bisher ungepatchtes RPC-Problem.
Auf einer französischen Web-Site wurde Quellcode für einen Exploit zu den Sicherheitslücken in Microsofts RPC/DCOM-Dienst veröffentlicht. Er soll gegen Systeme einsetzbar sein, die entweder gar nicht gegen die RPC-Lücken gepatched sind oder auf denen nur das erste Sicherheitsupdate eingespielt wurde (MS03-026). Systeme, auf denen die Patches aus MS03-039 eingespielt wurden, sind nicht anfällig.
Der veröffentlichte Code soll universell bei mehreren betroffenen Windows-Versionen funktionieren, das heißt, er benutzt keine statischen Sprungadressen. Allerdings gibt es bisher keine Bestätigung, dass er auch tatsächlich funktioniert. Er ließ sich jedenfalls trotz der Beseitigung von einigen offensichtlichen Fehlern nicht übersetzen. Sobald jedoch funktionsfähige, universelle Exploits für dieses Sicherheitsloch kursieren, dürfte es nur noch eine Frage von Tagen sein, bis auch ein Lovsan-Nachfolger die zweite RPC-Lücke ausnutzt und eine weitere Wurm-Lawine anrollt.
In einem bisher unbestätigten Beitrag auf der Sicherheitsmailingliste Bugtraq heisst es auch, dass Windows XP mit Service Pack 1 und allen Sicherheitsupdates immer noch Fehler im RPC/DCPM-Dienst enthalte, die sich auch übers Netz ausnutzen ließen. Das wäre innerhalb weniger Monate der dritte Fehler im RPC/DCOM-Dienst von Windows. Der Autor, der bereits mehrere andere Schwachstellen veröffentlicht hat, behauptet, es gebe bereits einen Denial-of-Service-Exploit und auch das Ausführen von beliebigem Code sei wahrscheinlich möglich. Technische Details seien an Microsoft geschickt worden, eine Bestätigung stehe aber noch aus.
Siehe dazu auch:
- Hilfe zu den neuen RPC/DCOM-Sicherheitslücken in Windows
- Microsofts Security Bulletin MS03-039
- heise Security Hintergrund:-Artikel: Buffer-Overflows und andere Sollbruchstellen
Update:
Mittlerweile sind auf der Sicherheits-Mailingliste Full Disclosure mehrere Bestätigungen aufgetaucht, dass auf russischen Web-Sites Code verfügbar ist, der:
- auf verschiedenen Windows-Systemen ohne den Patch aus MS03-039 einen Shell-Zugang öffnet
- auf vollständig gepatchten Systemen zu einem Denial-of-Service führt, also wahrscheinlich den RPC-Dienst abschießt.
Windows-Anwender und Netzwerk-Adminstratoren sollten also davon ausgehen, dass auch Windows-Systeme mit allen aktuellen Patches weiterhin verwundbar sind, wenn der RPC-Dienst über das Internet erreichbar ist. Als Schutzmaßnahme sollte man Zugriffe auf die UDP-Ports 135, 137, 138 und 445 sowie die TCP-Ports 135, 139, 445 und 593 mit einer (Personal-)Firewall sperren. Weitere Details finden Sie in: Hilfe zu den neuen RPC/DCOM-Sicherheitslücken in Windows. (pab)
