Am ersten Patchday in 2009 hat Microsoft wie angekündigt lediglich ein als kritisch eingestuftes Security-Bulletin veröffentlicht. Das Bulletin MS09-001 beschreibt zwei als kritisch und eine als moderat eingestufte Schwachstelle in der SMB-Implementierung.

Zwei neue Schwachstellen

Zwei bisher unveröffentlichte Pufferüberlauf-Schwachstellen im SMB-Protokoll (Server Message Block) erlauben die Ausführung beliebigen Codes.

Die Zero Day Initiative (ZDI) hat zu diesen Schwachstellen eigene Advisories veröffentlicht: ZDI-09-001: Microsoft SMB NT Trans Request Parsing Remote Code Execution Vulnerability und ZDI-09-002: Microsoft SMB NT Trans2 Request Parsing Remote Code Execution Vulnerability. Wie die Namen schon nahe legen, kommt es beim Verarbeiten von NT-Trans- bzw. NT-Trans2-SMB-Requests mit präparierten Werten zu Pufferüberläufen, in deren Folge theoretisch eigener Code eingeschleust werden kann. Beide Schwachstellen werden für Windows 2000 SP4, XP SP2/SP3 und Server 2003 SP1/SP2 als insgesamt kritisch eingestuft. In Windows Vista samt SP1 und Server 2008 ist nur die zweite Schwachstelle enthalten. Da bei diesen Systemen Filesharing per Defaulteinstellung nicht aktiviert ist, wird sie nur als moderat eingestuft. Mit aktiviertem Filesharing ist natürlich wie bei den anderen Systemversionen die Ausführung beliebigen Codes möglich.

Eine bekannte Schwachstelle

Eine schon seit September 2009 öffentlich bekannte Schwachstelle beim Verarbeiten von 'WRITE_ANDX'-SMB-Paketen durch srv.sys erlaubt DoS-Angriffe. Diese Schwachstelle wird für alle betroffenen Systeme als moderat eingestuft.

'Exploitability Index'

Microsoft hält für alle drei Schwachstellen das Erscheinen von funktionsfähigen Exploitcode für unwahrscheinlich. Wieso das so ist, erklärt ein Eintrag im Microsoft Security Vulnerability Research & Defense Blog: Beim Pufferüberlauf wird ein fester Wert (0) in den Kernel-Speicher geschrieben, und welcher Speicherbereich dabei überschrieben wird, lässt sich nur schwer festlegen.

Das meint das ISC:

Das Internet Storm Center hat wie immer eine Übersicht über die veröffentlichten Patches erstellt, die diesmal aus verständlichen Gründen sehr kurz ausfällt. Demnach werden die Schwachstellen sowohl für Clients als auch für Server als kritisch eingestuft.

Carsten Eilers

Übersicht der Meldungen auf 'Security aktuell':

• Zwei Pufferüberlauf-Schwachstellen in SMB erlauben Ausführung beliebigen Codes (MS09-001)
• Schwachstelle beim Verarbeiten von 'WRITE_ANDX'-SMB-Paketen durch srv.sys erlaubt DoS-Angriffe (MS09-001)