Zwei Microsoft-Security-Advisories am Januar-Patchday
Die insgesamt drei behandelten Schwachstellen betreffen den Netzwerk-Stack von Windows sowie den lokalen Windows-Sicherheitsdienst LSASS und ermöglichen Angreifern schlimmstenfalls, die vollständige Kontrolle über verwundbare System zu übernehmen.
- Christiane Rütten
Gemäß Ankündigung liefert Microsoft am Januar-Patchday zwei Security-Advisories samt zugehöriger Patches aus. In den Advisories beschreiben die Redmonder zwei äußerst kritische Schwachstellen im TCP/IP-Netzwerk-Stack von Windows (MS08-001) sowie eine Schwachstelle im lokalen Windows-Sicherheitsdienst LSASS (MS08-002).
Die TCP/IP-Schwachstellen betreffen durchweg alle Windows-Versionen. Unter Windows 2000 SP4 können sie Angreifer übers Netz zwar lediglich ausnutzen, um ein System lahmzulegen. Doch unter allen neueren Windows-Versionen ermöglichen sie es Angreifern, übers Netz mit Hilfe von beliebigem Schadcode die vollständige Kontrolle über verwundbare Systeme zu übernehmen.
Dazu ist es jedoch nötig, einem ungepatchten Windows-Rechner manipulierte IGMPv3- oder MLDv2-Pakete beziehungsweise fragmentierte RDP-Routing-Pakete zu schicken. Bei Systemen hinter einer Unternehmens-Firewall oder einem DSL-Router ist dies in der Regel nicht ohne Weiteres möglich. Außerdem ist das für die zweite Schwachstelle erforderliche ICMP Router Discovery Protocol standardmäßig nicht aktiviert. Microsofts Experten zu Security Vulnerability Research & Defense erläutern in ihrem Blog diese Schwachstellen genauer.
Die LSASS-Lücke hingegen lässt sich nur mit lokalen Prozeduraufrufen (LPC) zum Einschleusen und Ausführen von beliebigem Schadcode ausnutzen. Angreifer mit eingeschränktem Zugang zu einem verwundbaren System können sich so erhöhte Zugriffsrechte verschaffen und die vollständige Kontrolle übernehmen. Vista-Installationen bleiben von diesem Problem verschont.
Angesichts der Schwere der Schwachstellen sollten Windows-Anwender und -Administratoren die veröffentlichten Patches umgehend einspielen oder zumindest den Zugriff auf verwundbare Systeme einschränken.
Siehe dazu auch:
- Microsoft Security Bulletin Summary für Januar 2008, Zusammenfassung von Microsoft
- Microsoft Security Bulletin MS08-001 – Sicherheitsanfälligkeiten in Windows TCP/IP können Remotecodeausführung ermöglichen (941644), Advisory von Microsoft
- Microsoft Security Bulletin MS08-002 – Sicherheitsanfälligkeit in LSASS kann lokale Erhöhung von Berechtigungen ermöglichen (943485), Advisory von Microsoft
(cr)
