Microsoft: Nachrichtendienst, die Dritte

Microsoft versucht anscheinend jetzt, den Windows-Nachrichtendienst mit einem iterativen Verfahren abzudichten: Am Freitag stellten die Redmonder die dritte Version des Patches für den Windows-Nachrichtendienst bereit. Die letzte Version hatte bei Windows XP die im DLL-Cache (%systemroot%\system32\dllcache) abgelegte Sicherheitskopie der Bibliothek wkssvc.dll nicht richtig ersetzt. Wird die Original-Version versehentlich gelöscht oder beschädigt, ersetzt sie Windows XP unter Umständen automatisch durch die noch verwundbare Version aus dem DLL-Cache.

Seit dem Wochenende liefert die Windows-Update-Site deshalb eine neue Version des Patches aus. Eigentlich hatte Microsoft angekündigt, Patches nur noch einmal im Monat zu veröffentlichen. Außer der Reihe sollten nur noch so genannte Emergency Releases erscheinen. Als solches stuft Microsoft dieses Update jedoch anscheinend nicht ein, denn eine separate Ankündigung des neuen Nachrichtendienst-Patches gab es nicht.

Es wird allerhöchste Zeit, die Dienste abzudichten, die über den RPC-Port zu erreichen sind. Denn am Wochenende erschienen auf russischen Web-Sites auch erste fertig kompilierte Exploits, die einem Angreifer vollen Zugang zum System verschaffen sollen. Bisherige Exploits brachten den Nachrichtendienst lediglich zum Absturz (Denial of Service). Fast parallel wurden auch Exploits für den ebenfalls via RPC anzusprechenden Workstation Service (MS-049) veröffentlicht.

Siehe dazu auch: (ju)

• Microsoft Security Bulletin MS03-043 (Nachrichtendienst, englisch)
• Microsoft Security Bulletin MS03-043 (Nachrichtendienst, deutsch, noch nicht aktualisiert)
• Microsoft Security Bulletin MS03-049 (Workstation Service, deutsch)