Verwundbarkeit im Serverdienst erlaubt Remote Code Execution auch in Pre-Beta Windows 7

Microsoft hat soeben das schon angekündigte kritische Windows-Sicherheitsupdate freigegeben. Es ist über Microsoft Update, Windows Update und Office Update verfügbar. Sicherheitsupdates sind weiterhin auch über das Microsoft Download Center herunterladbar. Aufgrund der Schwere des Problems empfehlen wir allen Kunden dringendst, diesen Patch schnellstmöglich einzuspielen. Diese Sicherheitsanfälligkeit kann bei der Gestaltung einer als Computerwurm verwendbaren Ausnutzung verwendet werden.

Was ist das Problem?

Der Serverdienst ist verwundbar gegen speziell formatierte RPC-Pakete. Derartige Pakete kann man zumindestens im Intranet problemlos an eine Windows-Maschine senden. Ohne Einspielen des Patches sind Microsoft Windows 2000 SP 4, Windows XP SP 2 & 3 sowie Windows Server 2003 SP 1 & 2 (inkl. x64 Edition und Itanium-basierende Systeme) möglichen Angriffen schutzlos ausgeliefert, solange die Ports 139 und 445 von einem potentiellen Angreifer aus direkt erreichbar sind.

In Windows Vista Gold & SP 1 (inkl. x64 Edition) sowie Windows Server 2008 (32-bit, 64-bit und Itanium-basierende Systeme [auch Server Core]) und den Pre-Betas zu Windows 7 ist der betroffene Codepfad nur an dem Windows-System angemeldeten Benutzern zugänglich. Anonyme Angreifer können hier den Fehler nicht ausnutzen. Deshalbe ist die Verwundbarkeit bei diesen Systemen niedriger eingestuft.

ACHTUNG: Das Aktivieren des Gastkontos auf einem Windows-System führt dazu, dass auch anonyme Zugriffe automatisch als authentifiziert gelten, da sie über das aktive Gastkonto abgewickelt werden. Windows Vista und Windows Server 2008 mit aktiviertem Gastkonto haben dann die gleiche kritische Sicherheitslücke wie die vorherigen Windows-Versionen.

Wie kann ich das Problem lösen?

Microsoft empfiehlt, das Problem durch schnellstmögliches Einspielen des verfügbaren Sicherheitsupdates zu schliessen.

Was kann ich tun, wenn ich den Patch nicht so schnell einspielen kann?

Wer aus welchen Gründen auch immer den Patch nicht so schnell einspielen kann, muss mögliche Angriffsvektoren gegen seine Windows-Systeme genau analysieren. Folgende Umgehungsmöglichkeiten kommen dabei in Frage:

Filtern der Ports 139 und 445 gegen unsichere Netze
Gegenüber dem Internet sollten diese Ports generell nicht freigegeben sein. Allein das Sperren dieser Ports nach aussen hilft aber nicht gegen interne Angriffe. Wenn man im internen Netz ein fremdes Notebook einfach in das Netzwerk hängen kann, reicht diese Schutzmassnahme jedoch nicht aus. Auf meinen Veranstaltungen zu den Themen portbasierende Authentifiziereung (802.1x) oder Network Access Protection (NAP) haben typischerweise >98% der Teilnehmer keine derartige Schutzmaßnahmen im Einsatz. Für das Filtern kann man eine eigenständige Edgefirewall oder auch eine Personal Firewall einsetzen. Die mitgelieferte Windows-Firewall ist völlig ausreichend für diesen Zweck.

Beenden und Deaktivieren der Dienste Computerbrowser und Serverdienst auf nicht gepatchten Windows-Systemen
Danach sind diese Systeme gegen die Verwundbarkeit geschützt - allerdings funktioniert dann Software, die auf die Browsing Liste angewiesen ist, möglicherweise nicht mehr richtig. Weiterhin können die Windows-Systeme dann keine Netzwerkfreigaben oder Netzwerkdrucker anbieten.

Filtern der RPC-Zugriffe auf Windows Vista, Windows Server 2008 und den Pre-Betas von Windows 7
Die Firewall in Windows Vista und Windows Server 2008 erlaubt das Herausfiltern der speziell formatierten RPC-Pakete. Dazu müssen lediglich alle RPC-Anfragen mit der UUID 4b324fc8-1670-01d3-1278-5a47bf6ee188 geblockt werden. Einen entsprechenden Filter kann man in einer Eingabeaufforderung mit erhöhten Rechten (rechter Mausklick: Als Administrator ausführen) mit Hilfe der Netshell erstellen:

C:\> netsh

netsh> rpc
netsh rpc> filter
netsh rpc filter> add rule layer=um actiontype=block
netsh rpc filter> add condition field=if_uuid matchtype=equal data=4b324fc8-1670-01d3-1278-5a47bf6ee188
netsh rpc filter> add filter
netsh rpc filter> quit

Wird die Sicherheitslücke in the wild ausgenutzt?

Wir vermuten, dass diese Sicherheitslücke bisher nur in sehr wenigen, gezielten Angriffen benutzt wird. Wir haben bis jetzt noch keine Hinweise auf Proof of Concept-Code im Internet gefunden. Durch das Bekanntwerden der Lücke im Rahmen der Veröffentlichung des Out-of-band releases steigt natürlich die Gefahr zunehmender Angriffe extrem an.

Update am 27.10.2008: Inzwischen kursieren im Internet Exploits und ein erster Wurm für diese Sicherheitslücke. Weitere Informationen veröffentlichte Microsoft im Security Advisory 958963: Exploit Code Published Affecting the Server Service.

Wo kann ich die Patches direkt herunterladen?
Wer das Sicherheitsupdate nicht über Microsoft Update, Windows Update oder Office Update einspielen möchte, kann es auch direkt herunterladen. Anbei die Links zu den einzelnen Versionen:

• Microsoft Windows 2000 Service Pack 4
• Windows XP Service Pack 2
• Windows XP Service Pack 3
• Windows XP Professional x64 Edition
• Windows XP Professional x64 Edition Service Pack 2
• Windows Server 2003 Service Pack 1
• Windows Server 2003 Service Pack 2
• Windows Server 2003 x64 Edition
• Windows Server 2003 x64 Edition Service Pack 2
• Windows Server 2003 with SP1 for Itanium-based Systems
• Windows Server 2003 with SP2 for Itanium-based Systems
• Windows Vista and Windows Vista Service Pack 1
• Windows Vista x64 Edition and Windows Vista x64 Edition Service Pack 1
• Windows Server 2008 for 32-bit Systems
• Windows Server 2008 for x64-based Systems
• Windows Server 2008 for Itanium-based Systems
• Windows 7 Pre-Beta