132088

Sicherheitslücke in Windows NT und 2000

08.07.2005 | 14:16 Uhr |

Ein Angreifer kann den Status von Diensten abfragen und das Ereignisprotokoll auslesen.

Eine Sicherheitslücke, die bereits Anfang dieses Jahres entdeckt wurde, ermöglicht einem Angreifer das Abfragen von Diensten auf einem Windows-PC. Er kann also zum Beispiel feststellen, welche Dienste laufen. Es ist auch möglich, den einen oder anderen Dienst zu starten oder zu beenden. Ferner kann er Teile des Ereignisprotokolls lesen. Dies sind das Anwendungsprotokoll und das Systemprotokoll. Das Sicherheitsprotokoll kann hingegen nicht eingesehen werden, da dies spezielle Rechte erfordert.

Möglich werden diese Zugriffe durch eine Schwachstelle in der Microsoft-Implementierung des SMB-Protokolls (Server Message Block), über das auch Datei- und Druckerfreigaben laufen. Bei so genannten "Null-Sessions" sind über "Named Pipes" anonyme SMB-Abfragen möglich, erfordern also keine Authentifikaton. Mit anderen Worten: Jeder darf darauf zugreifen. Dienste, die von der Benutzergruppe "Jeder" gestartet oder beendet werden dürfen, kann ein Angreifer ebenfalls steuern.

Das Problem betrifft in dieser Form nur Windows NT und Windows 2000. Windows XP und Windows Server 2003 stellen zwar ebenfalls die Möglichkeit bereit über Named Pipes so genannte Remote Procedure Calls (RPC) zu starten, sind jedoch von dieser speziellen Sicherheitslücke nicht betroffen.

Microsoft hat mit dem kürzlich bereits gestellten Update-Paket " Rollup Package 1 " für Windows 2000 auch einen Patch gegen diese Schwachstelle bereit gestellt. Wer seinen PC oder ein Netzwerk mit einer Firewall schützt, egal ob Hardware oder Software, sollte die Einstellungen überprüfen und sicherstellen, dass die Ports 139 und 445 nicht von außen erreichbar sind.

Technische Details zum Problem und dessen Lösung liefert eine Präsentation von Jean-Baptiste Marchand.

0 Kommentare zu diesem Artikel
132088