Fehler in Windows gefährdet Internet-PCs

Das Sicherheitsbulletin MS-03-026 dreht sich um einen Fehler in der RPC-Schnittstelle von Windows NT, 2000, XP und 2003 Server. Es handelt sich dabei um ein Buffer-Overflow-Problem im DCOM-Interface, das auf die Remote Procedure Calls (RPC) aufsetzt. Distributed COM (DCOM) dient zur Kommunikation von Software-Komponenten über das Netzwerk, ähnlich wie COM die Zusammenarbeit von Komponenten auf einem Rechner erlaubt. Ein speziell manipuliertes Paket an den für RPC verwendeten TCP-Port 135 kann Teile des Stacks überschreiben und damit beliebigen Code von außen auf einen Rechner einschleusen und ausführen lassen.

Besonders kritisch ist die Schwachstelle, weil Port 135 standardmäßig immer offen ist und schwer zu schließen ist. Stellt man den RPC-Dienst ab, funktionieren unter Umständen andere wichtige Systemdienste nicht mehr. Besonders bedroht sind Windows-Nutzer, deren PC direkt -- also ohne Router oder Firewall -- mit dem Internet verbunden ist. Denn standardmäßig ist der TCP-Port 135 auch an das DFÜ-Interface gebunden. Wird Zugriff von außen auf diesen Port nicht über die XP-eigene Internet-Verbindungs-Firewall oder eine Personal Firewall abgeblockt, sollte der Patch schnellstens eingespielt werden. Dass Port 135 aus dem Internet erreichbar ist, merkt man im Übrigen oft schon daran, dass sich Pop-Up-Fenster mit dubiosen Inhalten auf dem Desktop öffnen. Im Bulletin weist Microsoft auch auf die Möglichkeit hin, den DCOM-Service abzuschalten, warnt aber davor, dass dies die Kommunikation mit Objekten auf diesem System verhindert. Welche Folgen dies im Einzelfall konkret hat, ist bisher nicht klar. (dab)