proMedia Internet KG

RPC/DCOM - neue Risiken

10. September 2003:  Die unlängst erst gestopfte Windows DCOM-Schnittstelle weist drei weitere Sicherheitslücken auf, von denen Microsoft zwei als kritisch eingestuft. Zum erfolgreichen Angriff auf einen ungeschützten Rechner genügt auch hier der bloße Aufenthalt im Internet. Betroffen sind Windows NT, 2000, XP und Windows 2003 Server, nicht jedoch Windows 98/ME.

Microsoft stellt seit dem 10. September 2003 einen neuen Patch (MS03-39) bereit. Dieser soll drei Lücken schließen, die der alte Patch (MS03-26) anscheinend offen ließ. Anwender sollten den neuen Patch umgehend installieren, da er die alten und die neuen Sicherheitslücken abdeckt.

Zwar kursieren für die neuen Schwächen derzeit noch keine nennenswerten Exploits. Dies kann sich aber schon binnen eines einzigen Tages vollständig ändern. Ebenfalls eine Lücke in der Windows- DCOM-Schnittstelle hatte die rasante Verbreitung des Internet- Wurms W32.Blaster/Lovsan am 11. August dieses Jahres ermöglicht.

Tip:

Anwender brauchen mit einem der betroffenen Windows- Systeme nicht unvorbereitet ins Internet zu gehen. Nutzen Sie folgende Möglichkeiten zum vorläufigen Schutz:

• Blockieren Sie an Ihrem Firewall oder Ihrem Router zum Internet die UDP-Ports 69, 135, 137, 138, 445, und die TCP-Ports 135, 139, 445, 593, 4444.
  
  
• Als Benutzer von Windows XP und Server 2003 aktivieren Sie den enthalten "Internetverbindungsfirewall", der auf der zu schützenden Maschine selbst läuft. Der Rechner muss dazu offline sein.
  
  
• Auch ein "Personal Firewall" eines Drittanbieters kann die meisten Angriffe verhindern.
  
  
• Verwenden Sie zum Download des Patches und zur Informationsgewinnung im Netz einen Rechner mit einem nicht betroffenem oder schon gepatchten Betriebssystem.
  
  
• Ein gewisses Maß an vorläufiger Sicherheit lässt sich auch durch das Deaktivieren von DCOM auf dem noch ungepatchten Computer erreichen.
  
  
• Deaktivieren Sie CIS (COM Internet Services) und RPC über HTTP.
  
  

Patches:

• Downloadadressen im deutschen Microsoft Security Bulletin MS03-039
• Download über das englische Microsoft Security Bulletin MS03-39
  

Weiterführende Informationen:

• Microsoft Security Bulletin MS03-39 - english
• Microsoft Security Bulletin MS03-39 - deutsch
  
  
• Microsoft zu vorläufigen Problemumgehungen
  
  
• Pakete filtern unter Windows 2000:
  HOW TO: Configure TCP/IP Filtering in Windows 2000
  
  
• Deaktivieren von DCOM
  
  
• Deaktivieren von CIS
  
  
• Informationen zu RPC über HTTP
  
  
• proMedia Internet KG
  Virenwarnung: W32.Blaster/Lovsan
  
  

Tools:

• KB 824146 Scanner for MS03-026 and MS03-039 Patches - Diagnosewerkzeug zum Aufspüren ungepatchter Rechner im lokalen Netz
  
  

Personal Firewalls:

• Kerio Personal Firewall
• Tiny Personal Firewall
• Outpost Firewall
• ZoneAlarm Pro
  

Die Veröffentlichung dieser Ratschläge und der Links auf die Angebote Dritter erfolgt ohne Anspruch auf Vollständigkeit, nach besten Wissen, jedoch unter Ausschluß jeglicher Gewährleistung. - Vor jedem Eingriff in Ihr System sollten Sie grundsätzlich immer alle wichtigen Daten sichern. - Im Zweifel sollten Sie einen Fachmann beauftragen. (14. September 2003)