Clanstube Community

21. Dezember 2024 - 18:01
 

Microsoft schließt kritische Lücke in Windows

SicherheitMicrosoft hat zwei Sicherheits-Updates für Windows 2000, XP, Server 2003, Vista, Server 2008 und Office veröffentlicht. Der im Bulletin MS08-069 beschriebene Patch schließt gleich drei Lücken in Microsofts XML Core Services 3.0, 4.0, 5.0 und 6.0. Einen der Fehler stuft Microsoft als kritisch ein, da es genügt, eine präparierte Seite mit dem Internet Explorer zu besuchen, um Opfer eines Angriffs zu werden. Ursache ist laut Bericht ein Speicherfehler beim Parsen von XML-Code, durch den sich Code einschleusen und ausführen lässt. Allerdings gilt diese Einstufung nur für die MSXML-Version 3.0, in den anderen Versionen stufen die Redmonder das Problem immerhin noch als "Hoch" ein.

Mit dem zweiten Patch (MS08-068) nehmen die Redmonder Angreifern eine Möglichkeit für so genannte SMB Reflection Attacks. Bei solchen Angriffen sendet der Betreiber eines manipulierten SMB-Servers die NTLM-Login-Credentials eines zuvor auf seinem Server versuchten Logins an sein Opfer zurück, um so Zugriff auf dessen PC zu erhalten und dort Programme auszuführen. Dafür müssen auf dem PC des Opfers allerdings die Ports 139 und 445 erreichbar sein, was etwa der Fall ist, wenn die Datei- und Druckfreigabe im LAN aktiviert ist und die Firewall die Ports nicht blockiert. Durch den nun veröffentlichten Patch soll Windows zurückgespielte Credentials als ungültig erkennen.

Neu ist das Problem eigentlich nicht. Microsoft beschreibt diesen Angriff unter anderem in dem aus dem Jahre 2005 stammenden Artikel "How to Shoot Yourself in the Foot with Security, Part 1". Bereits damals empfahlen die Redmonder als Prävention das SMB Message Signing zu aktivieren – dieser Tipp ist nun als Workaround im Bulletin aufgeführt.

Gemäß Microsoft Exploitability Index respektive Ausnutzbarkeitsindex gibt es für die SMB-Lücke bereits einen öffentlich verfügbaren Exploit. Für die kritische Lücke in XML rechnet der Hersteller demnächst mit einem Exploit: "Angreifercode für die Offenlegung von Informationen ist wahrscheinlich, da dieser bei domänenübergreifenden Angriffen verwendet werden kann." Anwender sollten sicher stellen, dass die Updates auch automatisch auf ihren Rechner gelangen.

Links:
- Quelle
- Microsoft Security Bulletin Summary für November 2008

Kommentare

Es wurden noch keine Kommentare verfasst.

Kommentar schreiben

Bitte logge dich ein, um einen Kommentar zu verfassen.