Updates beseitigen zwei Lücken

Microsoft Patch Day: Kritische Lücke im TCP/IP-Stack

09.01.2008 von Mike Hartmann
Im Dezember hatten scheinbar viele Microsoft-Entwickler Urlaub, denn es gibt im Januar nur zwei Bulletins. Eines davon hat es aber in sich: Über eine Lücke im TCP/IP-Stack von Windows können Angreifer beliebigen Code ausführen.

Jeden zweiten Dienstag im Monat ist Microsoft Patch Day. An diesem Tag veröffentlicht der Software-Gigant aus Redmond eine Liste entdeckter Bugs samt zugehöriger Fixes. Durch einen festen Monatsrhythmus möchte man Systemadministratoren das Leben erleichtern und die Updates zu einer planbaren Größe im IT-Management machen.

Im Dezember gab es sieben Bulletins, die elf Lücken unter anderem in Windows Vista, dem neuen SMB-Protokoll und dem neuen Internet Explorer 7 schließen. Der Januar lässt sich nur scheinbar ruhig an: Die kritische Lücke im TCP/IP-Stack aller Windows-Versionen inklusive Vista lässt sich ausnutzen, um beliebigen Code mit vollen Rechten auszuführen. Damit sind beispielsweise alle DSL-Nutzer in Gefahr, die den PPPoE-Client direkt auf dem Rechner laufen lassen und keinen DSL-Router verwenden. Ebenso betroffen sind etwa Notebook-Besitzer, die unterwegs per UMTS-Karte ins Internet gehen.

MS08-001: Code-Ausführung über TCP/IP-Stack

Bei der Verarbeitung von IGMPv3- (Internet Group Management Protocol) und MLDv2- (Multicast Listener Discovery) Paketen gerät der TCP/IP-Stack ins Stolpern und es kann zur Ausführung beliebigen Codes mit vollen Rechten kommen.

Dazu muss der Angreifer lediglich ein speziell präpariertes IGMP- oder MLD-Paket an das Opfer senden. Gefährdet durch Hacker von außen sind vor allem Windows-Rechner, die direkt (also nicht über einen zwischengeschalteten Router) mit dem Internet verbunden sind. In einem solchen Fall ist sofortiges Aktualisieren angezeigt. Es kann auch nicht schaden, eingehende IGMP- und MLD-Pakete auszufiltern, da Multicast immer noch so gut wie nie über das Internet verwendet wird.

Neben der kritischen Lücke behebt das Update auch einen möglichen DoS im RDP (ICMP Router Discovery Protocol). Dieses ist jedoch per Default nicht eingeschaltet.

MS08-001: Code-Ausführung über TCP/IP-Stack

Datum

08.01.2008

Warnstufe

Kritisch

Betrifft

Windows 2000, XP, Server 2003, Vista

Auswirkung

Code-Ausführung, DoS

Workaround

siehe Security-Bulletin

Updates

siehe Security-Bulletin

CVE

CVE-2007-0069, CVE-2007-0066

MS08-002: lokale Rechteausweitung über LSASS

Der Local Security Authority Subsystem Service (LSASS) verarbeitet bestimmte Local Procedure Calls (LPC) nicht korrekt, so dass es zur Ausführung beliebigen Codes mit vollen Rechten kommen kann.

Dazu muss der Angreifer sich jedoch lokal an der Maschine anmelden und eine speziell präparierte Anwendung starten, oder das Opfer dazu bringen, diese herunterzuladen und zu starten.

MS08-002: lokale Rechteausweitung über LSASS

Datum

08.01.2008

Warnstufe

Wichtig

Betrifft

Windows 2000, XP; Server 2003

Auswirkung

Lokale Rechteausweitung

Workaround

siehe Security-Bulletin

Updates

siehe Security-Bulletin

CVE

CVE-2007-5352