Laut dem amerikanischen Anbieter für Sicherheitslösungen Internet Security Systems, enthält der RPC/DCOM-Dienst (DCOM = Distributed Component Object Model; RPC = Remote Procedure Call) für Windows 2000 und XP einen Fehler, der durch den jüngsten Patch nicht beseitigt sei. Im Gegenteil: Man könne auch das gepatchte Systeme zum Absturz bringen. Übrigens Ungepatchte Systeme laufen Gefahr, dass ein Angreifer ein neues Benutzerkonto anlegt, mittels dessen er den Rechner kontrollieren kann. Den Sicherheitsexperten von ISS zufolge wird der Absturz durch einen Cache-Überlastung im laufenden System verursacht. Wenn zeitgleich viele RPC-Anfragen (Multi-Threaded Race Condition) an den Rechner erfolgen, verbraucht der RPCSS-Dienst zu viel Speicher und stürzt ab. Die Folge ist ein automatischer Reboot durch das System.Nachdem Microsoft noch keine neuen Patch anbietet, erscheint es ratsam, die für einen Angriff in Frage kommenden Ports (TCP: 135, 139, 445, 593, UDP: 135, 137, 138, 445) zu sperren. Ferner kann man DCOM abschalten. Man sollte allerdings erst testen, ob dadurch Applikationen und Remote-Zugriffe auf das System gestört wedrden, erklärt Microsoft..(wl)
16.10.2003
Laut dem amerikanischen Anbieter für Sicherheitslösungen Internet Security Systems, enthält der RPC/DCOM-Dienst (DCOM = Distributed Component Object Model; RPC = Remote Procedure Call) für Windows 2000 und XP einen Fehler, der durch den jüngsten Patch nicht beseitigt sei. Im Gegenteil: Man könne auch das gepatchte Systeme zum Absturz bringen. Übrigens Ungepatchte Systeme laufen Gefahr, dass ein Angreifer ein neues Benutzerkonto anlegt, mittels dessen er den Rechner kontrollieren kann. Den Sicherheitsexperten von ISS zufolge wird der Absturz durch einen Cache-Überlastung im laufenden System verursacht. Wenn zeitgleich viele RPC-Anfragen (Multi-Threaded Race Condition) an den Rechner erfolgen, verbraucht der RPCSS-Dienst zu viel Speicher und stürzt ab. Die Folge ist ein automatischer Reboot durch das System.Nachdem Microsoft noch keine neuen Patch anbietet, erscheint es ratsam, die für einen Angriff in Frage kommenden Ports (TCP: 135, 139, 445, 593, UDP: 135, 137, 138, 445) zu sperren. Ferner kann man DCOM abschalten. Man sollte allerdings erst testen, ob dadurch Applikationen und Remote-Zugriffe auf das System gestört wedrden, erklärt Microsoft..(wl)