Windows Security-Info
|
Windows Security-Info |
|
| Typ | RPC Sicherheitslücke im Windows Serverdienst (TCP Ports 139 und 445) |
| Betroffen | Windows 2000(SP4), Windows XP(SP2/SP3), Windows Vista, Windows Server 2003(SP1/SP2), Windows Server 2008 |
| Beschreibung | Im Serverdienst auf Windows-Systemen liegt eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung vor. Die Sicherheitsanfälligkeit wird dadurch verursacht, dass der Dienst speziell gestaltete RPC-Anforderungen nicht richtig verarbeitet. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. |
| CVE-Referenz | CVE-2008-4250 |
| Technische Details | Security Bulletin MS08-067 vom 23. Oktober 2008 |
| Hotfix- Dateiinformationen |
Windows 2000 SP4: netapi32.dll (Version 5.0.2195.7203,
17.10.2008) Windows XP SP2: netapi32.dll (Version 5.1.2600.3462, 15.10.2008) Windows XP SP3: netapi32.dll (Version 5.1.2600.5694, 15.10.2008) Windows 2003 SP1: netapi32.dll (Version 5.2.3790.3229, 16.10.2008) Windows 2003 SP2: netapi32.dll (Version 5.2.3790.4392, 16.10.2008) Windows Vista SP1/2008: netapi32.dll (Version 6.0.6001.18157, 16.10.2008) |
Am 23. Oktober 2008 wurde von Microsoft ein besonders kritisches Sicherheitsupdate für Windows 2000/XP/Vista sowie Windows Server 2003 und 2008 herausgeben. Das Update 958644 (MS08-067) behebt eine Sicherheitslücke im Serverdienst, welche es einem Angreifer ermöglicht, über das Netzwerk beliebigen Code ohne Authentifizierung über die TCP-Ports 139 oder 445 einzuschleusen und auszuführen, und für die es seit dem 25.10.2008 (!!!) einen öffentlichen Exploit gibt.
Diese Sicherheitslücke stellt, sofern sie nicht über das seit 24.10.2008 morgens bereitstehende Update geschlossen ist oder aber die TCP-Ports 139 oder 445 über die Windows Firewall ("Datei- und Druckerfreigabe") blockiert sind, eine ähnliche Gefahr wie beim beim Blaster Wurm im Jahr 1993 oder beim Sasser Wurm im Jahr 2004 dar.
In unserer Windows XP Standardinstallation sind die TCP-Ports 139 oder 445 ("Datei- und Druckerfreigabe") blockiert sowie keine Default-Shares vorhanden. Damit installierte Computer in unserem Datennetz, auf denen nachträglich keine Freigaben eingerichtet wurden, sind daher geschützt, auch wenn das Update 958644 noch nicht installiert wurde.
Gefährdet sind Windows 2000 Systeme, Windows Server 2003 und
Windows Server 2008 sowie Windows XP und Windows Vista, wenn darauf Freigaben
eingerichtet wurden und die TCP-Ports 139 oder 445 ("Datei- und
Druckerfreigabe") in der Firewall nicht blockiert sind.
Eine potentieller Angriff auf das aktuelle Sicherheitsloch kann nicht von
"außen" (vom Internet), wohl aber innerhalb unseres Datennetzes einschließlich
des Funknetzes und dem VPN-Zugang erfolgen, z.B. durch Anschluss infizierter Notebooks etc.
Bitte informieren Sie daher umgehend Ihre Benutzer, das Update 958644
schnellstmöglich auf allen Computern zu installieren. Computer, die dazu - wie
dringend empfohlen - unseren WSUS Dienst verwenden (Prüfung durch Batchdatei
RZWU), müssen dazu
entweder eingeschaltet und die lokale Anmeldung ausgeführt
werden, das nach wenigen Minuten über die Update-Benachrichtigung
angekündigte Update gestartet und nach Aufforderung der Computern neu
gestartet (oder heruntergefahren) werden
oder - dies gilt vor allen für Computer, deren Besitzer oder Benutzer zurzeit nicht anwesend sind - einfach eingeschaltet, KEINE Anmeldung ausgeführt werden und mehr als 24h in diesem Zustand eingeschaltet bleiben. Das Sicherheitsupdate wird wie üblich auch ohne Login automatisch installiert und der erforderliche Neustart - erst danach ist das Update wirksam! - spätestens nach 24h automatisch ausgeführt. Diese Methode gilt auch für alle Windows Serversysteme.
Für Geräte, auf denen das Sicherheitsupdate 958644 nicht schnellstmöglich installiert werden kann bzw. die irgendwann später „ungepacht“ an unser Datennetz angeschlossen werden sollen, gelten die üblichen Sicherheitsvorkehrungen: VOR dem Anschluss der Geräte an unser Datennetz ist in der Windows Firewall die Einstellung "aktiv - ohne Ausnahmen" wählen und erst dann - bei angeschlossenem Netzwerk - über das Windows Update (bzw. unseren WSUS Dienst für dienstliche Geräte) das System auf aktuellen Stand bringen. Diese Vorsorgemaßnahme gilt auch für alle Studenten-Notebooks.
Deutsch (DE) Englisch (EN-US) Windows 2000 SP4 Windows2000-KB958644-x86-DEU.EXE Windows2000-KB958644-x86-ENU.EXE Windows XP SP2/SP3 WindowsXP-KB958644-x86-DEU.exe WindowsXP-KB958644-x86-ENU.exe Windows 2003 SP1/SP2 WindowsServer2003-KB958644-x86-DEU.exe WindowsServer2003-KB958644-x86-ENU.exe Windows Vista/2008 Server x86 Windows6.0-KB958644-x86.msu Windows6.0-KB958644-x86.msu Windows Vista/2008 Server x64 Windows6.0-KB958644-x64.msu Windows6.0-KB958644-x64.msu
Wolfram Oestreicher, 27.10.2008