RPC-Dienst immer noch offen -- Microsoft bessert nach
Microsoft hat Mittwochabend erneut Patches für kritische Sicherheitslücken im RPC-Dienst herausgebracht, den der Blaster/Lovsan-Wurm attackierte.
Microsoft hat am Mittwochabend neue Patches für den RPC/DCOM-Dienst herausgebracht, in dem sie erst kürzlich schwerwiegende Sicherheitslücken gestopft hatten. Der Blaster/Lovsan-Wurm machte sich diese Sicherheitslücken zu Nutze, um sich Mitte August massiv zu verbreiten.
Das jüngste Security Bulletin MS03-039 warnt, dass sich offenbar noch immer drei Sicherheitslücken im RPC/DCOM-Dienst befinden, zwei davon ermöglichen die Ausführung von beliebigen Befehlen. Betroffen sind wiederum Windows NT, 2000, XP und Server 2003. Die Patches im aktuellen Bulletin bezeichnet Microsoft als Ersatz für die in MS03-026 aufgeführten. Microsoft stuft die neuen Lücken als kritisch ein und empfiehlt Anwendern und Administratoren dringend, die Patches schnellstmöglich einzuspielen.
Bei den Informationen, um was es sich bei den Problemen genau handelt, halten sich die Redmonder jedoch sehr bedeckt. Aus ihren Ausführungen lässt sich nicht einmal entnehmen, ob es sich um neue Lücken handelt oder um die bereits bekannten, die womöglich fehlerhaft gestopft wurden. Mehr Informationen liefert die Firma eEye Digital Security, bei der sich Microsoft für Berichte über das Problem bedankt. Ein parallel veröffentlichtes eEye-Advisory spricht von einer neuen Schwachstelle, die zu einer "Heap Corruption" führen kann. Der Heap ist ein Speicherbereich, in dem Variablen und auch dynamisch allozierter Speicher liegen. Heap-Overflows sind schwieriger auszunutzen als die klassischen Buffer-Overflows auf dem Stack, insbesondere weil es keinen generischen Weg gibt, einmal eingeschleusten Code anzuspringen. eEye hat jedoch anscheinend einen Weg gefunden, die Schwachstelle auszunutzen, stellt aber keinen konkreten Exploit-Code bereit. Dafür haben die Sicherheitsexperten ihren Retina-Security-Scanner so modifiziert, dass er in Netzwerken anfällige Systeme identifizieren kann. Eine spezieller RPC-Scanner steht zum kostenlosen Download bereit. Auch Microsoft stellt einen Scanner bereit, der verwundbare Systeme identifiziert.
Ob der bereits vor einiger Zeit berichtete, weitere Fehler im RPC-Dienst von Windows 2000 durch den aktuellen Microsoft-Patch beseitigt wird, ist derzeit noch offen.
Siehe dazu auch:
- Microsofts Security Bulletin MS03-039
- Microsofts Scanner
- Das eEye-Advisory
- eEye RPC-Scanner
- heise Security Hintergrund:-Artikel: Buffer-Overflows und andere Sollbruchstellen
(pab)
