Microsoft bleibt beliebtes DoS-Ziel auf Port 445

Vor etwa zwei Jahren erschreckte der W32.Blaster-Wurm unschuldige Windows-Benutzer. Durch einen Fehler im Microsofts RPC-Modul war es böswillig gesinnten Angreifern möglich, beliebige Windows-Computer mit den Versionen 2000 und XP auf Knopfdruck neu zu starten. Die Zeit der RPC-Exploits geht weiter – auch Ende 2005.

Der findige Programmierer Winny Thomas der Nevis Laboratorien aus Pune, Indien, entdeckte beim Ausarbeiten seines Exploits bezüglich der Plug&Play-Sicherheitslücke MS05-047 – über die wir ebenfalls berichteten – eine weitere ausnutzbare Lücke beim Aufruf des „upnp_getdevicelist“-Typen, der sich als Denial-of-Service-Attacke nutzen lässt.

Der fehlerhafte Aufruf führt zu einer exzessiven Überbelastung des virtuellen Speichers des Betriebssystems – mit konstanter Wiederholung kann so ein DoS-Status hervorgerufen werden, der dem Angreifer möglicherweise Zugriff auf das System ermöglichen bzw. dieses zum gezielten Absturz bringen könnte.

Da der RPC-Dienst bei jedem Windows-Benutzer standardmäßig eingeschaltet und benötigt wird, ist ein Schutz gegen etwaige Angriffe nur durch das Blocken der UDP-Ports 135, 137, 138, 445, sowie TCP 135, 139, 445 und 593 möglich. Betroffen von dieser ausnutzbaren Sicherheitslücke sind Systeme mit Windows 2000 SP1-SP4, sowie Windows XP SP1.

Da Microsoft im aktuellen Windows XP Servicepack 2 den RPC-Dienst grundlegend geändert und umgeschrieben hat, ist der angesprochene Exploit für Nutzer des aktuellen SP2 nicht gefährlich – ebenso ist Windows 2003 Server immun gegen diesen Angriff.