Exploit für Windows-RPC-Bug im Umlauf

Nur wenige Tage nach Erscheinen des Microsoft-Bulletins MS03-026 zu einem Fehler in Microsofts RPC-Implementierung wurden bereits erste Exploits veröffentlicht. Durch einen Pufferüberlauf kann beliebiger Code ausgeführt werden; einer der Exploits öffnet beispielsweise eine TCP-Verbindung zurück zum Rechner des Angreifers, über die dieser beliebige Kommandozeilenbefehle eingeben kann.

Der Fehler betrifft alle Windows-Versionen ab Windows NT -- einschließlich des neuen Windows Server 2003. Außerdem hat sich herausgestellt, dass er entgegen Microsofts ursprünglicher Analyse nicht nur über den TCP-Port 135 ausgenutzt werden kann; dies ist auch über den UDP-Port 135 und die TCP-Ports 139 beziehungsweise 445 möglich. Microsoft hat sein englisches Advisory bereits entsprechend ergänzt. Dort weist Microsoft auch darauf hin, dass zusätzliche Dienste, die RPC nutzen, auch auf anderen Ports aktiv sein können -- verrät aber nicht, welche das sein könnten. Auf Mailinglisten ist zu lesen, dass über den Dienst ncacn_http prinzipiell auch ein Exploit über dessen Port 593 möglich sei. Sind auf einem Server zusätzlich auch noch COM Internet Services aktiviert (nicht per default), könne ein Angreifer den verwundbaren RPC-Dienst eventuell sogar über Port 80 erreichen.

Spätestens jetzt ist es höchste Zeit, den von Microsoft bereitgestellten Patch einzuspielen. Denn Experten fragen sich eigentlich nur noch, wann der erste Wurm den RPC-Bug zur Verbreitung nutzen wird. SecurityFocus-Kolumnist Tim Mullen hat sogar schon einen Namen parat: In Anspielung auf die Entdecker des Bugs, die Hackergruppe Last Stage of Delirium (LSD), schlägt er "Mescaline" vor. (ju)