Windows-Namensdienst verwundbar

Einem Advisory von Nicolas Waisman zufolge existiert im Windows-Namensdienst WINS eine Schwachstelle, über die ein Angreifer beliebigen Code einschleusen und ausführen kann. Bei dem verwundbaren Dienst handelt es sich um die WINS-Replikation, die über TCP-Port 42 erfolgt. Ein Angreifer kann den Fehler durch ein spezielles Paket an diesen Port eines Servers ausnutzen. Laut Waisman sind alle WINS-Versionen verwundbar, getestet habe er Windows 2000 mit Service Pack 2-4. Im Rahmen von Canvas steht auch ein öffentlicher Exploit bereit, eine Stellungnahme von Microsoft oder einen Patch gibt es bisher nicht. Das Internet Storm Center warnt bereits vor diesbezüglichen Aktivitäten im Netz.

WINS-Replikation muss normalerweise explizit eingerichtet werden, Administratoren können durch einen Port-Scan auf TCP-Port 42 feststellen, ob ihre Server verwundbar sind. Zum Schutz können sie über eine Firewall den Zugang zu diesem Port auf die legitimen Replikationspartner begrenzen.

Waisman will den Fehler bereits im Mai im Rahmen des so genannten Vulnerability Sharing Club von Immunity veröffentlicht haben. Für eine Mitgliedsgebühr ab 50.000 US-Dollar können sich dort Firmen vorab über Schwachstellen informieren lassen, die Immunity gefunden hat. Für die Mitgliedschaft muss sich der Kunde allerdings verpflichten, die Informationen nicht weiter zu geben (Non Disclosure Agreement).

Update
Microsoft hat zu der Schwachstelle einen Knowledge-Base-Artikel "How to help protect against a WINS security issue" veröffentlicht, in der Schritte zur Begrenzung des Risikos aufgeführt sind, da noch kein Update verfügbar ist. Im wesentlichen schlagen die Redmonder das Filtern des WINS-Verkehrs oder das Abschalten des Dienstes vor. Alternativ empfehlen sie, den Verkehr zwischen WINS-Servern mit IPSec zu schützen.

Siehe dazu auch: (ju)

• Security Advisory von Nicolas Waisman