Windows Security-Info

Kritisches Sicherheitsupdate 958644 (MS08-067, 23.10.2008)

Sicherheitsanfälligkeit im Serverdienst kann Remotecodeausführung ermöglichen,
bitte installieren Sie dieses Update schnellstmöglich!


Übersicht

Typ RPC Sicherheitslücke im Windows Serverdienst (TCP Ports 139 und 445)
Betroffen Windows 2000(SP4), Windows XP(SP2/SP3), Windows Vista, Windows Server 2003(SP1/SP2), Windows Server 2008
Beschreibung Im Serverdienst auf Windows-Systemen liegt eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung vor. Die Sicherheitsanfälligkeit wird dadurch verursacht, dass der Dienst speziell gestaltete RPC-Anforderungen nicht richtig verarbeitet. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen.
CVE-Referenz CVE-2008-4250
Technische Details Security Bulletin MS08-067 vom 23. Oktober 2008
Hotfix-
Dateiinformationen
Windows 2000 SP4: netapi32.dll (Version 5.0.2195.7203,  17.10.2008)
Windows XP SP2:     netapi32.dll (Version 5.1.2600.3462,  15.10.2008)
Windows XP SP3:     netapi32.dll (Version 5.1.2600.5694,  15.10.2008)
Windows 2003 SP1: netapi32.dll (Version 5.2.3790.3229,  16.10.2008)
Windows 2003 SP2: netapi32.dll (Version 5.2.3790.4392,  16.10.2008)
Windows Vista SP1/2008: netapi32.dll (Version 6.0.6001.18157,  16.10.2008)

Informationen

Am 23. Oktober 2008 wurde von Microsoft ein besonders kritisches Sicherheitsupdate für Windows 2000/XP/Vista sowie Windows Server 2003 und 2008 herausgeben. Das Update 958644 (MS08-067) behebt eine Sicherheitslücke im Serverdienst, welche es einem Angreifer ermöglicht, über das Netzwerk beliebigen Code ohne Authentifizierung über die TCP-Ports 139 oder 445 einzuschleusen und auszuführen, und für die es seit dem 25.10.2008 (!!!) einen öffentlichen Exploit gibt.

Diese Sicherheitslücke stellt, sofern sie nicht über das seit 24.10.2008 morgens bereitstehende Update geschlossen ist oder aber die TCP-Ports 139 oder 445 über die Windows Firewall ("Datei- und Druckerfreigabe") blockiert sind, eine ähnliche Gefahr wie beim beim Blaster Wurm im Jahr 1993 oder beim Sasser Wurm im Jahr 2004 dar.

In unserer Windows XP Standardinstallation sind die TCP-Ports 139 oder 445 ("Datei- und Druckerfreigabe") blockiert sowie keine Default-Shares vorhanden. Damit installierte Computer in unserem Datennetz, auf denen nachträglich keine Freigaben eingerichtet wurden, sind daher geschützt, auch wenn das Update 958644 noch nicht installiert wurde.

Gefährdet sind Windows 2000 Systeme, Windows Server 2003 und Windows Server 2008 sowie Windows XP und Windows Vista, wenn darauf Freigaben eingerichtet wurden und die TCP-Ports 139 oder 445 ("Datei- und Druckerfreigabe") in der Firewall nicht blockiert sind.

Eine potentieller Angriff auf das aktuelle Sicherheitsloch kann nicht von "außen" (vom Internet), wohl aber innerhalb unseres Datennetzes einschließlich des Funknetzes und dem VPN-Zugang erfolgen, z.B. durch Anschluss infizierter Notebooks etc.

Bitte informieren Sie daher umgehend Ihre Benutzer, das Update 958644 schnellstmöglich auf allen Computern zu installieren. Computer, die dazu - wie dringend empfohlen - unseren WSUS Dienst verwenden (Prüfung durch Batchdatei RZWU), müssen dazu

Für Geräte, auf denen das Sicherheitsupdate 958644 nicht schnellstmöglich installiert werden kann bzw. die irgendwann später „ungepacht“ an unser Datennetz angeschlossen werden sollen, gelten die üblichen Sicherheitsvorkehrungen: VOR dem Anschluss der Geräte an unser Datennetz ist in der Windows Firewall die Einstellung "aktiv - ohne Ausnahmen" wählen und erst dann - bei angeschlossenem Netzwerk - über das Windows Update (bzw. unseren WSUS Dienst für dienstliche Geräte) das System auf aktuellen Stand bringen. Diese Vorsorgemaßnahme gilt auch für alle Studenten-Notebooks.


958644 Hotfix-Downloads (manuelle Installation) 

  Deutsch (DE) Englisch (EN-US)
Windows 2000 SP4 Windows2000-KB958644-x86-DEU.EXE Windows2000-KB958644-x86-ENU.EXE
Windows XP SP2/SP3 WindowsXP-KB958644-x86-DEU.exe WindowsXP-KB958644-x86-ENU.exe
Windows 2003 SP1/SP2 WindowsServer2003-KB958644-x86-DEU.exe WindowsServer2003-KB958644-x86-ENU.exe
Windows Vista/2008 Server x86 Windows6.0-KB958644-x86.msu Windows6.0-KB958644-x86.msu
Windows Vista/2008 Server x64 Windows6.0-KB958644-x64.msu Windows6.0-KB958644-x64.msu

Wolfram Oestreicher, 27.10.2008