Hilfe zu den neuen RPC/DCOM-Sicherheitslücken in Windows
Das gestern von Microsoft veröffentlichte Bulletin bezieht sich auf neue Sicherheitslücken zum RPC/DCOM-Dienst von Windows. Deshalb müssen die Patches installiert werden, um eine weitere, Blaster-ähnliche Wurm-Lawine zu verhindern.
Die gestern gemeldeten Sicherheitslücken im RPC/DCOM-Dienst unter Windows sorgen für reichlich Verwirrung, da viele Anwender alte und neue Updates verwechseln und der Meinung sind, sie hätten den RPC-Patch doch bereits installiert. Dennoch müssen sie den in MS03-039 beschriebenen Patch einspielen, um die neuen Fehler im RPC/DCOM-Dienst zu beheben. Praktischerweise beseitigt dieser Patch auch gleich noch den alten, in MS03-026 beschriebenen Fehler.
Damit wird sowohl das Loch geschlossen, über das der Lovsan-Wurm in die Systeme eindringt, als auch die drei neu entdeckten Sicherheitslöcher. Für eines davon kursiert bereits seit dem 21. Juli ein Exploit, mit dem Windows-2000-Systeme zum Absturz gebracht werden können. Mit den zwei übrigen können Angreifer sehr wahrscheinlich beliebigen Code auf dem System einschleusen und ausführen. Nach dem Advisory der Sicherheitsexperten von eEye zu urteilen, ist es wohl nur eine Frage der Zeit, bis der nächste RPC-Wurm das Licht der Welt erblickt. Der Exploit-Code für Lovsan wurde über mehrere Wochen in entsprechenden Foren diskutiert und verfeinert. Vom Erscheinen der Updates von Microsoft, bis zum Ausbruch des Wurms vergingen immerhin vier Wochen. Auf die gleiche Art und Weise dürfte auch der neue Code entstehen. Es ist deshalb dringend anzuraten, die Updates diesmal zeitnah einzuspielen.
Folgende Patches stellt Microsoft für deutsche Windows-Systeme zur Verfügung:
- Windows NT Workstation
- Windows NT Server 4.0
- Windows NT Server 4.0, Terminal Server Edition
- Windows 2000
- Windows XP
- Windows XP 64 bit Edition
- Windows XP 64 bit Edition Version 2003
- Windows Server 2003
- Windows Server 2003 64 bit Edition
Des weiteren schützen dieselben Maßnahmen wie bei Blaster/Lovsan. Eine (Personal-)Firewall kann Angriffe gegen den RPC-Dienst abwehren, indem sie Zugriffe auf die UDP-Ports 135, 137, 138 und 445 sowie die TCP-Ports 135, 139, 445 und 593 sperrt. Sofern RPC über HTTP oder COM Internet Services aktiviert sind, kann der RPC/DCOM-Dienst auch über die Ports 80 und 443 angesprochen werden. Windows XP verfügt bereits über eine eingebaute Firewall, die allerdings von mancher Internet-Einwahlsoftware, zum Beispiel T-Online und AOL, umgangen wird. Einige Treiber für ISDN-Karten legen ebenfalls eigene Verbindungen an, bei denen die Firewall deaktiviert ist. Kerio Firewall und ZoneAlarm sind kostenlose Alternativen, die damit umgehen können.
Administratoren können Systeme in ihren Netzwerken mit Tools von eEye und Microsoft auf alte und neue RPC-Schwachstellen scannen. Der Scanner von eEye hat eine grafische Oberfläche und lässt sich sehr einfach bedienen. In der kostenlosen Version kann er allerdings in einem Durchlauf nur ein Class-C-Netz überprüfen. Als Ergebnis listet er alle erreichbaren Systeme auf und für welche der Schwachstellen sie anfällig sind. MS03-39 weist auf die neuen Sicherheitslöcher hin, ist zusätzlich MS03-026 aufgeführt, wurde schon das alte Sicherheitsloch peinlicherweise nicht gestopft. Windows-98-Systeme werden dem Microsoft-Advisory entsprechend als nicht betroffen aufgeführt. Das Tool von Microsoft ist ein Kommandozeile-Scanner ohne grafische Oberfläche, mit dem auch größere Netzwerke überprüft werden können. Der Scanner unterscheidet zwischen "unpatched", "patched with KB823980" und "patched with KB824146 and KB823980". KB823980 bezeichnet hier die alte Schwachstelle aus MS03-026, KB824146 kennzeichnet den Patch für die neuen Lücken in MS03-039.
Kritik wird mittlerweile an der Art und Weise laut, wie Microsoft Sicherheitslöcher beseitigt. Kein Wunder, ist zum Stopfen der aktuellen Object-Data-Tag-Schwachstelle im Internet Explorer bereits ein dritter Patch in Arbeit. Anscheinend wird bei Bekanntwerden einer Schwachstelle nicht der gesamte betroffene Code einer Überprüfung unterzogen, sondern nur so angepasst, dass bekannte Exploits nicht mehr funktionieren. Des weiteren hat es Microsoft seit Jahren versäumt, dafür zu sorgen, dass Dienste wie RPC nicht über das Internet zu erreichen sind. Damit beschäftigt sich auch der aktuelle Kommentar auf heise Security:
Weitere Informationen:
- Deutsches Security Bulletin MS03-026 von Microsoft
- Deutsches Security Bulletin MS03-039 von Microsoft
- RPC-Dienst immer noch offen -- Microsoft bessert nach auf heise Security
- Scanner von eEye
- Scanner von Microsoft
