MSI Endanwender-Forum

News und Sonderforen => Foruminformationen => Thema gestartet von: Xela am 03. Dezember 2004, 10:14:49

Titel: [MS/Windows] Kritische Schwachstelle in WINS
Beitrag von: Xela am 03. Dezember 2004, 10:14:49
[MS/Windows] Kritische Schwachstelle in WINS


(2004-11-29 14:05:39.483702+01)
Quelle: http://support.microsoft.com/kb/890710

Der Windows Internet Naming Service (WINS) unter Microsoft Windows
NT/2000/XP/2003 weist eine kritische Schwachstelle auf. Ein Angreifer
kann durch ein spezielles Paket an den WINS (TCP/UDP-Port 42)
Kontrolle über das beherbergende Rechnersystem erlangen. Ein Patch zur
Behebung dieser Schwachstelle liegt bislang nicht vor. Als Workaround
wird die Deaktivierung von WINS bzw. die Filterung von TCP/UDP-Port 42
dringend empfohlen.

Betroffene Systeme
  * Microsoft Windows NT 4.0
  * Microsoft Windows 2000
  * Microsoft Windows XP
  * Microsoft Windows Server 2003

Nicht betroffene Systeme
  * Systeme ohne aktivierten WINS

Einfallstor
spezielles Paket an WINS (TCP/42, UDP/42)

Auswirkung
Ausführung beliebigen Programmcodes mit SYSTEM-Privilegien
(remote system compromise)

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur [1]Einstufung des Gefahrenpotentials.)

Beschreibung
Der Windows Internet Naming Service (WINS) von Microsoft Windows
NT/2000/XP/2003 weist eine Pufferüberlaufschwachstelle auf. Diese
Schwachstelle kann von einem Angreifer durch ein spezielles Paket an
den WINS (TCP/UDP-Port 42) zur Ausführung beliebigen Programmcodes mit
SYSTEM-Privilegien ausgenutzt werden.

Gegenmaßnahmen
Bislang liegt kein Patch vor.

Workaround
  * Deaktivierung von WINS
    Deaktivierungshinweise finden Sie unter [2]KB890710.
    Hinweis: Die Deaktivierung von WINS kann zu kritischen
    Einschränkungen führen und sollte wohl bedacht werden.
  * Filterung/Einschränkung von TCP/42 und UDP/42 z.B. mittels IPSec

Exploit Status
  * Es kursieren bereits Angriffsprogramme.

Weitere Information zu diesem Thema
  * [3]Security Advisory von Nicolas Waisman

Aktuelle Version dieses Artikels
[4]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1230


References

1. http://CERT.Uni-Stuttgart.DE/ticker/charta.php#Gefaehrdungsstufen
2. http://support.microsoft.com/kb/890710
3. http://www.immunitysec.com/downloads/instantanea.pdf