Erneuter Fehler in Windows-RPC-Schnittstelle

Auf der Mailing-Liste Bugtraq wurde ein weiterer Fehler in der Schnittstelle für Remote Procedure Calls (RPC) und Distributed COM (DCOM) publiziert, der zumindest für einen Denial-of-Service-Angriff ausgenutzt werden könnte. Eine fehlerhafte Anfrage an die DCOM-Methode __RemoteGetClassObject bringt den RPC-Dienst auf TCP-Port 135 zum Absturz -- auch wenn der kürzlich veröffentlichte RPC-Patch von Microsoft (MS03-026) installiert ist. Doch anders als bei dem letzte Woche gemeldeten RPC-Problem ist diesmal anscheinend nur Windows 2000 betroffen. Das RUS-CERT der Uni Stuttgart bestätigt, dass der veröffentlichte DoS-Exploit funktioniert und stuft das Problem als kritisch ein, falls sich über den zugrundeliegenden Buffer Overflow Code ausführen lasse.

Eine Stellungnahme und ein Patch von Microsoft steht noch aus. Windows-Nutzer sollten grundsätzlich Zugriffe von außen auf Port 135 sperren -- am besten durch eine vorgelagerte Firewall mit Paketfilter. Auf Windows-2000-Rechnern mit direktem Internet-Zugang kann man Zugriffe auf Port 135 mit einer Personal Firewall blockieren oder den RPC/DCOM-Dienst ganz deaktivieren. Wie dies geht, beschreibt Microsoft im Bulletin MS03-026. Allerdings kann diese Maßnahme zu unerwarteten Fehlern führen, da diverse Windows-Dienste und -Programme DCOM nutzen. (ju)