Startseite Gästebuch Kontakt Podcast Suche Impressum
Über unsTeichoskopBauerngartenTheologieKinderkirchePC und WebFotosLogin
Hradetzkys.de Fotoausstellung 2010
SitemapSucheStartseite
 
 
Der RPC Bug: Wann ist endlich Abhilfe in Sicht?
Der RPC-Bug unter Windows hat eine lange Geschichte, die bis in die Gegenwart reicht. 17.11.2005 wurde gemeldet, daß neue Exploits aufgetaucht sind, die Sicherheitslücken im RPC-Dienst ausnutzen können - isher ist die Rede von einer möglichen DOS-Attacke. Betroffen sind aktuell Windows XP bis Service Pack 1 sowie Windows 2000 bis Service Pack 4. Rechner mit Windows XP und Service Pack 2 sollen demnach sicher sein. Für Windows 2000 gibt es derzeit keinen Patch von Mircosoft. Man sehen, wie lange es diesmal dauert.
 
 Neue RPC-Lücke in Windows
Heise-Meldung vom 17.11.2005
[Diesen Link als ungültig melden]
 
 Neue RPC-Sicherheitslücke in Windows
Golem-Meldung vom 17.11.2005
[Diesen Link als ungültig melden]
 
 Microsoft Security Advisory (911052)
Memory Allocation Denial of Service Via RPC, englisch, vom 16.11.2005
[Diesen Link als ungültig melden]
 
Und hier die RPC-Story für alle begeisterten Windows-Kunden:
Im Sommer 2003 nutzte der Wurm W32.Blaster (auch Lovsan.A oder WORM_MSBLAST.A genannt) eine damals bereits bekannte Sicherheitslücke im Windows-RPC-Dienst. Betroffen waren/sind u.a. Windows NT 4.0, Windows 2000, Windows XP und Windows Server 2003. Windows 95, 98 und ME sind nicht betroffen. Der Blaster-Wurm diente wohl hauptsächlich dazu, an bestimmten Tagen DDoS-Attacken gegen die Website www.windowsupdate.com auszuführen und auf die ausgenutzte Sicherheitslücke hinzuweisen. Ironischerweise enthält der Programmcode des Wurms u.a. die Zeilen
"billy gates why do you make this possible ? Stop making money and fix your software!!"
Acht Monate (!) nach Bekanntwerden des Sicherheitsproblems veröffentlichte Microsoft am 13.04.2004 zum dritten Mal einen Sicherheitspatch, um das Problem nun endlich in Griff zu bekommen. Die beiden ersten Patches hatten das Problem nur teilweise beheben können. Anwender von Windows XP sollten unbedingt Service Pack 2 von Microsoft installieren, das am 09.08.2004 erschienen ist und den RPC-Bug nun offenbar endlich endgültig behebt.
 
Maßnahmen für Windows 2000 werden weiter unten beschrieben.
 
 Chip-Download: Win XP - Service Pack 2
Download von Chip.de. Achtung: Wegen der großen Datei (265.1 MByte) nur für DSL-User praktikabel! Modem- und ISDN-Nutzer sollten sich das Service Pack auf CD besorgen.
[Diesen Link als ungültig melden]
 
Die Installation des Service Packs bedeutet aber nicht, daß der Windows-XP-Rechner nun automatisch sicher ist: MS-User sollten jeden Monat die von Microsoft zur Verfügung gestellten Sicherheitsupdates checken, um ihren Rechner gegen neu entdeckte Angriffsmöglichkeiten zu schützen. Dafür hat Microsoft den sog. Patch-Day eingeführt: Einmal pro Monat gibt es Flicken für die MS-Wundertüte. Daß Windows ein Rundum-Sorglos-System ist, das man einmal installiert und dann wartungsfrei benutzen kann, ist eine längst widerlegte Legende. Das Gegenteil ist nämlich der Fall: Wer nicht ständig am Ball bleibt, gefährdet die Sicherheit seines Systems und riskiert im schlimmsten Fall den Komplettverlust seiner Daten. Da hilft auch kein Virenscanner und keine sogenannte "Firewall".
Hintergrund: Wer den RPC-Dienst kontrolliert, kontrolliert den Rechner
Gemessen an dem Potential, das der RPC-Bug einem Angreifer bietet, war der Blaster-Wurm relativ harmlos. Wer die entsprechenden Schwachstellen eines ungepatchten RPC-Dienstes auszunutzen weiß, könnte auf dem Zielrechner z.B. beliebige Software installieren (also auch beliebige Spionageprogramme, Dialer, Viren und Würmer), Paketfilter deaktivieren (wie z.B. ZoneAlarm), neue Benutzerkonten anlegen, beliebige Dateien lesen, verändern und löschen - oder sogar die ganze Festplatte formatieren! Das Problem ist also eigentlich nicht der Blaster-Wurm selbst, sondern die Sicherheitslücken im RPC-Dienst, die jederzeit auch von anderen Würmern befallen werden können - dann sicher mit weniger harmlosen Auswirkungen.
 
Wer eines der betroffenen Betriebssysteme (s.o.) nutzt und gar keine Gegenmaßnahme ergreift, handelt daher grob fahrlässig und braucht sich über weitere Überraschungen, die Blaster bei weitem übertreffen können, nicht zu wundern! Auch und gerade Privatanwender sollten sich kundig machen und ihre Rechner durch die neuesten Updates schützen.
 
Man könnte sich angesichts dieser gravierenden Sicherheitsprobleme (die über ein halbes Jahr nicht mit Windows-Bordmitteln vollständig zu beheben waren) auch fragen, ob ein teuer bezahltes Windows-Betriebssystem angesichts dieser gravierenden Sicherheitsprobleme (bei gleichzeitig äußerst langsamem Sicherheits-Support) überhaupt noch Sinn macht - und auf ein freies Linux-Betriebssystem umsteigen, wie es derzeit viele Regierungen und öffentliche Einrichtungen vormachen.
 
Ich persönlich habe mich Ende 2003 für den Umstieg auf Linux entschieden. Linux ist sicherer, billiger, und vor allem: ich selbst kontrolliere meinen Rechner und nicht der Hersteller hinter meinem Rücken!
Eine Online-Verbindung reicht, um den Rechner via RPC zu infizieren
Doch zurück zum Thema. Wie kommt der Wurm auf den Rechner? Blaster braucht weder Browser noch Mailprogramm - es reicht, wenn eine Onlineverbindung besteht und der Computer ungeschützt ist. Der Wurm scannt wahllos das Internet nach verwundbaren Rechnern. Dann nutzt er - zunächst unbemerkt - eine Schwachstelle in der DCOM-Schnittstelle des RPC-Dienstes von Windows. Der RPC-Dienst dient normalerweise zum Datenaustausch (Remote-Zugriff) innerhalb von lokalen Netzwerken. Wenn eine bestimmte ungültige Anfrage an den RPC-Dienst gesendet wird, kann ein Fehler in der Programmierung des Dienstes dazu führen, daß beliebiger Code auf dem angegriffenen Rechner ausgeführt werden kann (RPC DCOM Buffer Overflow).
 
Ein kleines Programm gelangt so auf den Zielrechner und versucht diesen zu veranlassen, den eigentlichen Wurm aus dem Web nachzuladen.
Infos und Gegenmaßnahmen
Nachdem Microsoft-Kunden nun ein Jahr warten mußten, bis das Problem vollständig behoben wurde, kam nun der dritte RPC-Patch von Microsoft heraus. Anwender betroffener Systeme sollten ihn so schnell wie möglich installieren. Ob das Problem damit endgültig gelöst ist, ist noch nicht bekannt.
 
 Microsoft: Kumulatives Update für Microsoft RPC/DCOM (828741)
Download des dritten, umfassendsten RPC-Patches von Microsoft, "MS04-012". Er soll das Problem nun vollständig beheben.
[Diesen Link als ungültig melden]
 
 20 auf einen Streich: Microsoft patcht RPC & Co
Heise-Security-Artikel vom 14.04.2004
[Diesen Link als ungültig melden]
 
Geübte Anwender können ihre Rechner durch weitere Maßnahmen absichern:
 
 DCOMbobulator
Mit diesem kostenlosen Tool läßt sich der Windows-RPC-Dienst komplett deaktivieren. Wer sich für diese Lösung entscheidet, löst das Problem wohl gründlich und elegant - sollte aber wissen, was er tut, denn zahlreiche Dienste und Anwendungen greifen auf den RPC-Dienst zu.
[Diesen Link als ungültig melden]
 
 de.comp.security.firewall FAQ
Gut gemachte FAQ-Seite von Lutz Donnerhacke zum Thema Firewall. Sehr lesenswert, denn auch Desktop-Paketfilter bieten nur einen relativen Schutz!
[Diesen Link als ungültig melden]
 
 Schleichpfade - Tunnel durch die Firewall
Interessante Artikel-Serie von heise-Security, die erläutert, wie Firewalls von Trojanern umgangen werden können. Firewalls bieten daher nur geringen Schutz.
[Diesen Link als ungültig melden]
 
 Kommunikations-Überwachung von ZoneAlarm ausgehebelt
Heise-Artikel vom 08.11.2005: Auf mehreren Wegen kann böswillige Software Daten an ZoneAlarm vorbeischleusen. Einen 100%igen Rundumschutz durch Desktop-Firewalls gibt es also nicht.
[Diesen Link als ungültig melden]
 
 NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP)
Ausführliche Infos über das Absichern und Deaktivieren der Dienste auf Win32-Systemen. Es kann ein automatisches Anpassungs-Script heruntergeladen werden, das einen Großteil der Maßnahmen automatisch durchführt. Philosophie: Ein Dienst, der auf einem Rechner nicht aktiv ist, kann auch nicht von außen mißbraucht werden.
[Diesen Link als ungültig melden]
Verwandte Themen auf Hradetzkys.de
Warum es sich lohnt, auf Linux (ein kostenloses und sicheres Betriebssystem) umzusteigen, schildert mein Artikel Warum Linux?.
  

 Guter Mailstil

 Guter Stil
 CC und BCC
 Fußzeilen
 Anhänge
 Fotos mailen
 HTML in Mails

 Sicher Mailen

 Fälschungen
 Digitale Signatur
 Wer liest mit?
 Verschlüsselung
 Viren
 Ketten-Mails
 Spam-Mails
 Mailheader lesen
 Die Fledermaus!

 Surfen

 Browserberatung
 Meine Linkliste

 Win-Sicherheit

 Windows 2000
 Der RPC-Bug

 Endlich Linux!

 Linux-Log 1
 Linux-Log 2
 Linux-Links 
 Linux für Schüler!
 Tutorial: Kino dv

 Webdesign

 Meine Projekte
 Tipps & Tricks
 Rechtliches
 Hilfreiche Links

 Freeware-Tips

 Diverse Freeware

 PHP-Scripting

 Vorbemerkung
 Unix-Timestamp
 Foren-Tuning
 Browser-Weiche
 URLs umwandeln
 
Hradetzkys.de Weblog als RSS-Feed abrufen
Herrnhuter Losung als RSS-Feed abrufen
Diary of an Old Soul (RSS)
Hradetzkys.de Photostream als RSS abrufen
Ich benutze Linux - hier steht, warum
GeoUrl - meine geographische Nachbarn im Web
GnuPG-Key für sichere Emails
Hosted by All-Inkl.com
Was soll der Fisch?
Druckversion
nach oben
Powered by Linux. PHP generierte diese Seite in 0.02757 Sekunden.
Text, Grafik und Programmierung © by Stefan Hradetzky
© 2000 - 2009 by Stefan Hradetzky. Alle Rechte vorbehalten. Beachten Sie die Hinweise des Impressums.