Microsoft-Windows-DNS-Server führt Schadcode aus
Die Schwachstelle, durch die Angreifer unter Umständen die vollständige Kontrolle über betroffene Systeme erlangen können, wird bereits aktiv ausgenutzt.
- Christiane Rütten
Durch eine Schwachstelle im DNS-Serverdienst von Microsoft können Angreifer übers Netz unter Umständen die vollständige Kontrolle über das System übernehmen. Laut einem Fehlerbericht von Microsoft führen bestimmte manipulierte RPC-Pakete an den DNS-Dienst zu einem Pufferüberlauf, der sich zum Einschleusen von beliebigen Schadcode nutzen lässt, den der Dienst mit SYSTEM-Privilegien ausführt. Nach Angaben von Microsoft wird die Lücke bereits aktiv ausgenutzt. Einen Patch für den Programmierfehler gibt es bislang offenbar noch nicht.
Der Microsoft-DNS-Server ist Teil von Windows 2000 SP 4 sowie Windows Server 2003 mit SP1 und SP2 und nicht standardmäßig aktiv. Microsoft empfiehlt, auf verwundbaren Systemen das RPC-Remote-Management für den DNS-Server-Dienst abzustellen. Dazu müssen Admins laut den Redmondern einen Registry-Eintrag unter HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters vom Typ DWORD mit dem Namen RpcProtocol und dem Wert 4 anlegen. Als weitere Handlungsmöglichkeit führt Microsoft an, auf Netzwerkebene den Zugang zu den TCP-Ports 1024 bis 5000 für RPC-Pakete auf vertrauenswürdige IP-Adressen einzuschränken.
Siehe dazu auch:
- Vulnerability in RPC on Windows DNS Server Could Allow Remote Code Execution (935964), Fehlerbericht von Microsoft
(cr)