RUS CERT IT Sicherheit

Deutschsprachige IT Sicherheitsmeldungen des RUS CERT (Computer Emergency Response Team des Rechenzentrums der Universität Stuttgart).

Security News Artikel #1618

Zurück zur Übersicht

Meldung Nr: RUS-CERT-1618

[MS/Windows] Schwachstelle im Windows Kernel
(2010-01-22 22:07:09.934615+00)

Quelle: http://www.microsoft.com/technet/security/advisory/979682.mspx

Eine Schwachstelle in der Virtual DOS Machine (VDM) die bereits 1993 in Windows/386 2.1 eingeführt wurde, kann von einem ordnungsgemäß am System angemeldeten, unprivilegierten Benutzer dazu ausgenutzt werden, administrative Privilegien zu erlangen. Diese Schwachstelle stellt insbesondere bei Mehrbenutzersystemen eine Bedrohung für die Systemsicherheit dar. Microsoft stellt derzeit keinen Patch zur Behebung der Schwachstelle bereit, weswegen dringend empfohlen wird, die Unterstützung für 16-bit-Programme abzuschalten.

Inhalt

Zusammenfassung

  • CVE-2010-0232:
    Betroffen: Windows 2000, XP, Server 2003, Vista, Server 2008, 7 für 32-bit-Systeme
    Nicht betroffen: Windows XP Pro, Server 2003 x64, Server 2003 Itanium, Vista x64, Server 2008 x64, Server 2008 Itanium, 7 x64, Server 2008 R2 x64, Server 2008 R2 Itanium
    Einfallstor: 16-bit-Anwendung
    Angriffsvoraussetzung:Berechtigungsnachweis (user credentials)
    Angriffsvektorklasse: local
    Auswirkung: system compromise
    Typ: Implementierungsfehler
    Gefahrenpotential: hoch
    Workaround: ja
    Gegenmaßnahmen: nein
    Vulnerability ID: CVE-2010-0232

Betroffene Systeme

  • Microsoft Windows 2000 SP4
  • Microsoft Windows XP SP2
  • Microsoft Windows XP SP3
  • Microsoft Windows Server 2003 SP2
  • Microsoft Windows Vista
  • Microsoft Windows Vista SP1
  • Microsoft Windows Vista SP2
  • Microsoft Windows Vista x64 Edition
  • Microsoft Windows Server 2008 für 32-bit-Systeme
  • Microsoft Windows Server 2008 für 32-bit-Systeme SP2
  • Microsoft Windows 7
  • Microsoft Windows Server 2008 R2 für 32-bit-Systeme

Nicht betroffene Systeme

  • Microsoft Windows XP Professional x64 Edition SP2
  • Microsoft Windows Server 2003 x64 Edition SP2
  • Microsoft Windows Server 2003 für Itanium-basierte Systeme SP2
  • Microsoft Windows Vista x64 Edition SP1
  • Microsoft Windows Vista x64 Edition SP2
  • Microsoft Windows Server 2008 für x64-basierte Systeme
  • Microsoft Windows Server 2008 für x64-basierte Systeme SP2
  • Microsoft Windows Server 2008 für Itanium-basierte Systeme
  • Microsoft Windows Server 2008 für Itanium-basierte Systeme SP2
  • Microsoft Windows 7 für x64-basierte Systeme
  • Microsoft Windows Server 2008 R2 für x64-basierte Systeme

Einfallstor

  • 16-bit-Anwendung

Angriffsvoraussetzung

  • Berechtigungsnachweis für ein unprivilegiertes Benutzerkonto auf dem beherbergenden Systems
    (user credentials)

Angriffsvektorklasse

  • lokal auf dem betroffenen System
    (local)

Auswirkung

  • Ausführung beliebigen Programmcodes auf dem beherbergenden System mit administrativen Privilegien
    (system compromise)

Typ der Verwundbarkeit

  • Implementierungsfehler
    (implementation flaw)

Gefahrenpotential

  • hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext

Um auf 32-bit-Systemen 16-bit-Anwendungen nutzen zu können wurde 1992 in Windows/386 2.1 die Virtual DOS Machine eingeführt wurde und seither zusammen mit allen 32-bit-Versionen von Windows ausgeliefert. Die VDM simuliert eine DOS-Umgebung mit 16-bit-Adressraum und fängt alle Systemaufrufe ab, um sie fuer das darunterliegende 32-bit-Betriebssystem zu konvertieren.

Beschreibung

Eine Schwachstelle in der Virtual DOS Machine (VDM) kann von einem Angreifer mit einer speziell präparierten 16-bit-Anwendung dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System ausführen. Der Code wird dabei mit administrativen Privilegien ausgeführt. Die erfolgreiche Ausnutzung dieser Schwachstelle führt zur Kompromittierung des beherbergenden Systems.

Um die Schwachstelle erfolgreich ausnutzen zu können, ist es erforderlich, dass der Angreifer als unprivilegierter Benutzer auf dem betroffenen System eingeloggt ist und beliebige 16-bit-Anwendung ohne Systemprivilegien starten darf.

Insbesondere auf Mehrbenutzersystemen stellt diese Schwachstelle eine ernstzunehmende Bedrohung dar und da noch kein Patch bereitgestellt wird, wird die Abschaltung der VDM auf betroffenen Systemen dringend empfohlen.

Es ist funktionierender Exploitcode im Umlauf.

Workaround

Gegenmaßnahmen

  • Derzeit ist kein Patch verfügbar.

Vulnerability ID

Weitere Information zu diesem Thema

Exploit Status

  • Funktionierender Exploitcode ist in Umlauf
(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, http://cert.uni-stuttgart.de/


http://cert.uni-stuttgart.de/ticker/article.php?mid=1618
 

Scannen Sie den Barcode um die Webseite zu öffnen


Quelle: http://www.trinler.net/de/news/it/cert/1618
Gedruckt am: 24.05.2017 10:05 GMT+0200 (2017-05-24T10:05:05+02:00)