Gratis-Schutz: Firewall gegen Viren, Unholde und Trojaner - 3/9
01.05.2004 by doelf
Der komplette Artikel als Druckversion
Microsoft Security Bulletin MS04-012
Auch dieses Update wird als kritisch eingestuft, es behebt Sicherheitslücken der Systemdienste RPC (Remote Procedure Calls) sowie DCOM (Distributed COM). Über Remote Procedure Calls kann ein Client-Rechner auf eine Prozedur zugreifen, die sich auf tatsächlich auf einem Server (remote) befindet. Für den User besteht dabei kein Unterschied zwischen einem lokalen und einem RPC Aufruf. Mit "Distributed COM" regelt Microsoft die Kommunikation zwischen Programmen über das Netzwerk. Beide Schnittstellen bieten sich für Angriffe an, da man ohne Wissen des Benutzers uneingeschränkte Berechtigungen über das entfernte System erlangen kann.
Eigentlich hatte Microsoft diese Sicherheitslücke bereits bei der "Premiere" des Blaster Wurms stopfen wollen und im August 2003 zwei Patches veröffentlicht:
- Microsoft Security Bulletin MS03-039: Pufferüberlauf in RPCSS-Dienst kann Codeausführung ermöglichen (824146)
- Microsoft Security Bulletin MS03-026: Pufferüberlauf in RPC-Schnittstelle kann Codeausführung ermöglichen (823980)
Die beiden letztjährigen Patches werden durch Microsofts Security Bulletin MS04-012 ersetzt, sie müssen auf frisch installierten Systemen nicht mehr aufgespielt werden. Weiterhin ist es sinnvoll, die UDP-Ports 135, 137, 138 und 445, sowie die TCP-Ports 135, 139, 445 und 593 zu blockieren (eine Anleitung folgt im weiteren Verlauf dieses Guides). Auch der Sasser Wurm, welcher seit dem 30.4. sein Unwesen treibt, schleicht sich über den TCP-Port 445 ein und läd den eigentlichen Virus per FTP-Protokoll über den TCP-Port 5554 nach.
Betrachten wir auch hier die Lücken, die das Update schließt:
Codeausführung von Remotestandorten aus:
- Sicherheitsanfälligkeit der RPC-Laufzeitbibliothek
Denial Of Service (DoS):
- Sicherheitsanfälligkeit des RPCSS-Dienstes
- Sicherheitsanfälligkeit bzgl. CIS (COM Internet Services) – RPC über HTTP
Offenlegung von Informationen:
- Sicherheitsanfälligkeit bzgl. Objektidentität
Microsoft Security Bulletin MS04-013
Unter MS04-013 finden wir ein kumulatives Sicherheitsupdate für Outlook Express, welches ebenfalls als "kritisch" eingestuft wird. Hiermit werden Löcher in den folgenden Versionen der Software gestopft:
- Outlook Express 5.5 SP2
- Outlook Express 6
- Outlook Express 6 SP1
- Outlook Express 6 (64-Bit Edition)
- Outlook Express 6 für Windows Server 2003
- Outlook Express 6 für Windows Server 2003 (64-Bit Edition)
Zudem wird eine entsprechende Lücke im Internet Explorer berichtigt, jedoch nicht von Microsoft dokumentiert. Beide Programme haben eine Sicherheitslücke beim Umgang mit MHTML (MIME HTML), also HTML-Einbindungen in E-Mails. MHTML-Inhalte können dazu mißbraucht werden, fremden Code mit den Rechten des angemeldeten Benutzern auszuführen, so können z.B. Viren und Trojaner eingeschleust werden:
Codeausführung von Remotestandorten aus:
- Sicherheitsanfälligkeit bei der Verarbeitung von MHTML-URLs
Microsoft Security Bulletin MS04-014
Zwar stuft Microsoft die Sicherheitslücke im Microsoft Jet-Datenbankmodul nur als "Hoch" ein, dennoch raten wir dringend, auch dieses Sicherheitsloch zu stopfen! Abermals dient ein Pufferüberlauf als Angriffspunkt, um Code auf den lokalen Computer einzuschleusen und dort auszuführen:
Codeausführung von Remotestandorten aus:
- Jet-Sicherheitsanfälligkeit
Da auch bei diesem Fehler die Gefahr besteht, daß Außenstehende uneingeschränkte Berechtigungen erlangen, verwundert uns Microsofts Einstufung der Sicherheitslücke doch sehr. Schließlich verwenden etliche Programme das Jet-Datenbankmodul.
|
