Kritische Sicherheitslücke im RPC-Dienst von Microsoft Windows

24. Oktober 2008

Kritische Sicherheitslücke im RPC-Dienst von Microsoft Windows

Wegen des Schadens-Potentials des Problems bittet CERT.at um Beachtung der folgenden Meldung:

Beschreibung

In den aktuellen Versionen von Microsoft Windows (Details siehe Meldung von Microsoft) gibt es eine Sicherheitslücke, die sich durch präparierte RPC-Requests von aussen ausnutzen lässt, und durch die potentiell beliebiger Code in das System eingeschleust werden kann.

Es gibt auch erste Hinweise darauf, dass versucht wird, diese Lücke aktiv auszunutzen.

Auswirkungen

Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Microsoft weist auch darauf hin, dass diese Lücke theoretisch das Potential hat, von einem Wurm wie "MSBlaster" (Wikipedia-Eintrag) ausgenutzt zu werden, und hat deshalb entsprechende Patches ausserhalb des gewohnten Update-Zyklus zur Verfügung gestellt.

Betroffene Systeme

  • Microsoft Windows 2000
  • Microsoft Windows XP
  • Microsoft Windows Server 2003
  • Microsoft Windows Vista
  • Microsoft Windows Server 2008
Details zu verwundbaren Patch-Levels/Service-Packs siehe www.microsoft.com/technet/security/Bulletin/MS08-067.mspx.

Hinweis

Es sollte beachtet werden, dass auch hinter Firmen-Firewalls befindliche Systeme bzw. solche, die die Default-Firewall aktiv haben, nicht unbedingt auf Dauer sicher sind, da es durchaus vorstellbar ist, dass entsprechend präparierte Angriffe auf anderen Wegen als direkt über das Internet eingeschleust werden können.

Abhilfe/Workarounds

Einspielen der von Microsoft zur Verfügung gestellten Patches.
Dies geschieht für Windows-Systeme am einfachsten über einen Besuch der "Windows Update"-Webseite unter: windowsupdate.microsoft.com.

Als Erst-Massnahme (bis etwa die aktuellen Patches auf Betriebssicherheit getestet wurden) kann auch sichergestellt werden, dass der RPC-Dienst nicht von aussen erreichbar ist, dies ist jedoch keine dauerhafte Lösung des Problems.

Weiters kann der "Computer Browser Service" deaktiviert werden, Details siehe Meldung von Microsoft. Dies kann jedoch je nach Setup Auswirkungen auf die gewünschte Funktionalität des Systems bzw. der Umgebung haben.

Allgemeiner Hinweis zu Updates

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen (etwa Microsoft Windows, Sun Java, Adobe Flash).

CERT.at-Policy zu Warnungen

Wir weisen darauf hin, dass CERT.at nur vor besonders kritischen Sicherheitslücken warnt, die ernsthafte Auswirkungen auf das Internet bzw. grosse Teile der in Österreich installierten Systeme haben können. Reguläre Updates - etwa von Microsoft jeden 2. Dienstag im Monat (sog. "Patch Tuesday") zur Verfügung gestellt - werden von uns nicht extra aufgeführt.
Informationsquelle(n):

Microsoft Advisory
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
Heise Meldung (deutsch)
http://www.heise.de/security/Microsoft-patcht-kritische-Luecke-im-RPC-Dienst--/news/meldung/117867
SANS Internet Storm Center Meldung
http://isc.sans.org/diary.html?storyid=5227