Freitag, 9. Januar 2009

entwickler.com Magazine Konferenzen Akademie Entwickler-Forum Jobbörse Bücher
Software & Support Verlag
Der Entwickler | dot.net magazin | Eclipse Magazin | Entwickler Magazin | Java Magazin | Linux Enterprise | PHP Magazin | CREATE OR DIE | Business Technology

Inhalt
Leser-CD
Profi-CD
Quellcodes
Ausgaben-Archiv
News-Übersicht
Topthemen-Übersicht
Online-Artikel
Forum-Highlights
Buch-Tipps
Direkt abonnieren
Preise & Verfügbarkeit
Aboservice
Profi-CD bestellen
Autor werden
Kontakt
News vorschlagen
Mediadaten
Kontakt



12.11.2008
Microsoft Patchday - 2 Bulletins schließen 4 Schwachstellen

Am November-Patchday hat Microsoft wie angekündigt je ein kritisches und ein wichtiges Security-Bulletins veröffentlicht. Insgesamt schließen die Bulletins vier Schwachstellen, von denen zwei zuvor öffentlich bekannt waren - das aber auch schon sehr lange.

MS08-069: Drei Schwachstellen im Microsoft XML Core Services

Das Security Bulletin MS08-069 gilt drei Schwachstellen im Microsoft XML Core Services und wird insgesamt als kritisch eingestuft.

Eine als kritisch eingestufte Schwachstelle beim Parsen von XML-Daten erlaubt die Ausführung beliebigen Codes. Diese Schwachstelle ist schon seit dem Januar 2007 bekannt, sie wurde damals dem Internet Explorer zugeschrieben. Betroffen sind Windows 2000 SP4, XP SP2/SP3, Server 2003 SP1/SP2, Vista samt SP1, Server 2008 mit den Microsofts XML Core Services 3.0.

Zwei weitere Schwachstellen erlauben das Ausspähen sensitiver Informationen: Eine Schwachstelle beim Prüfen externe DTDs führt zur Verletzung der Cross-Domain-Policy, eine Schwachstelle beim Verarbeiten von Headern erlaubt Zugriffe auf Daten anderer Domains. Betroffen sind wieder Windows 2000 SP4, XP SP2/SP3, Server 2003 SP1/SP2, Vista samt SP1 und Server 2008 sowie verschiedene Versionen von Microsoft Office, Expression Web und dem SharePoint- und Groove-Server. Für diese Schwachstellen lautet die Einstufung "Wichtig".

MS08-068: Eine Schwachstelle im SMB-Protokoll

Mit dem insgesamt als wichtig eingestuften Security Bulletin MS08-068 wird eine Schwachstelle im Server Message Block (SMB) Protocol behoben. Betroffen sind Windows 2000 SP4, XP SP2/SP3, Server 2003 SP1/SP2, für die das Bulletin als wichtig eingestuft wird, sowie Vista samt SP1 und Server 2008, für die das Bulletin als moderat eingestuft wird. Ursache der Schwachstelle in ein Fehler beim Verarbeiten von NTLM-Credentials, durch den ein Angreifer die an seinen Server gesendeten Credentials an den Rechner des Benutzer zurücksenden, sich dadurch authentifizieren und danach Code im Kontext des angemeldeten Benutzers ausführen kann.

Das für die Authentifizierung verwendete Challenge-Response-Verfahren läuft in 4 Schritten ab:

  1. Rechner A verbindet sich mit Rechner B.
  2. Rechner B sendet eine Challenge an Rechner A.
  3. Rechner A verwendet seine Credentials (Zugangsdaten), um die Response zu berechnen und sendet die Response an Rechner B.
  4. Rechner B hat die gleiche Berechnung mit den bei ihm gespeicherten Credentials durchgeführt und vergleicht beide Ergebnisse. Stimmen sie überein, kennt A die korrekten Credentials und wird authentifiziert.

Der durch die Schwachstelle mögliche Angriff wird als 'SMB Reflection Attack' bezeichnet und funktioniert folgendermaßen:

  1. Das Opfer baut eine Verbindung zum Angreifer auf (das kann z.B. über Social Engineering erreicht werden)
  2. Jetzt müsste der Angreifer eine Challenge an das Opfer schicken, das sich darüber authentifiziert. Statt dessen baut der Angreifer seinerseits eine Verbindung zum Opfer auf
  3. Das Opfer erzeugt eine Challenge für die eingehende Verbindung des Angreifers und sendet sie an den Angreifer
  4. Der Angreifer sendet die in Schritt 3 erhaltene Challenge an das Opfer, das sie für die Schritt 2 von ihm erwartete Challenge für die in Schritt 1 aufgebaute Verbindung hält.
  5. Das Opfer berechnet die Response für die Challenge und sendet sie an den Angreifer
  6. Der Angreifer sendet die Schritt 5 erhaltene Response an das Opfer, das sie als Response für die in Schritt 3 gesendete Challenge für die in Schritt 2 aufgebaute Verbindung hält - der Angreifer ist authentifiziert.

Die Schwachstelle ist noch älter als die Schwachstelle beim Parsen von XML-Daten: Ein entsprechender Angriff wurde von Microsoft bereits 2005 in einem Artikel beschrieben: How to Shoot Yourself in the Foot with Security, Part 1. Schon damals wurde, wie auch jetzt wieder, als mögliche Gegenmaßnahme das Aktivieren des SMB Message Signing vorgeschlagen. Im Security Vulnerability Research & Defense Blog gib es weitere Informationen: MS08-068: SMB credential reflection defense.

Folgt ein Exploit-Mittwoch oder Donnerstag?

Microsoft wagt auf der Übersichtsseite zum Patchday wieder eine Voraussage möglicher Angriffe. Demnach ist für die Schwachstelle in SMB bereits Exploit-Code für Windows XP öffentlich verfügbar, für eine der Schwachstellen zum Ausspähen sensitiver Informationen im XML Core Services ist das Erscheinen eines Exploits wahrscheinlich. Für die Ausnutzung der zweiten Schwachstellen zum Ausspähen sensitiver Informationen wird nicht mit einem Exploit gerechnet. Das gleiche gilt für die Schwachstelle zur Ausführung beliebigen Codes, da dort eine Race-Condition ausgenutzt werden muss, so dass eine Ausnutzung schwierig erscheint. Da die Schwachstelle bereits seit Januar 2007 bekannt ist, ohne das ein Code-ausführender Exploit veröffentlicht wurde, ist jetzt eigentlich auch nicht mehr damit zu rechnen. Ein Proof-of-Concept, der einen Absturz des Internet Explorers auslöst, wurde jedoch veröffentlicht.

Das meint das ISC:

Das Internet Storm Center hat wie immer eine Übersicht über die veröffentlichten Patches erstellt. Demnach sind entgegen Microsofts Einstufung beide Bulletins für Clients kritisch und für Server wichtig. Trotzdem sollten natürlich sowohl auf Clients als auch auf Servern die Patches möglichst zeitnah installiert werden, man weiß ja nie...

Carsten Eilers

Übersicht der Meldungen auf 'Security aktuell':



eine Seite zurück
zurück		 an den Anfang der Seite
nach oben 		diesen News drucken
drucken		 diesen News weiterempfehlen
empfehlen		 ein Kommentar zu dieser News schreiben
kommentieren




    Copyright © 2009 Software & Support Verlag GmbH. Haben Sie noch Fragen?                   Impressum  |  Datenschutz
 Software & Support Verlag GmbH