Microsoft ISA Server 2000 H.323-Filter Denial of Service und erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 8.2 | $0-$5k | 0.00 |
Microsoft Internet Security and Acceleration Server (MS ISA Server) ist eine Weiterentwicklung des Microsoft Proxy 2.0. Mit ihm ist das Firewalling auf Applikations-Ebene mittels Proxies möglich. Wie nun bekannt wurde, existiert ein nicht näher beschriebener Fehler beim Filter für H.323-Verkehr. Dieser kann für eine Denial of Service-Attacke oder gar das Ausführen beliebigen Programmcodes missbraucht werden. Microsoft hält in seinem Security Bulletin MS04-001 fest, dass der Microsoft Proxy Server 2.0 von der Schwachstelle nicht betroffen ist. Ebenso ist der ISA Server 2000 nicht affektiert, wenn dieser im Cache-Modus betrieben wird, da sodann der Firewalling-Teil standardmässig deaktiviert ist. Entsprechend ist der Fehler also auf den Filter für H.323 ansich zurückzuführen. Als direkter Workaround wird empfohlen den Filter für H.323 auf dem betroffenen ISA Server zu deaktivieren. Sodann sind jedoch keine H.323-Kommunikationen mehr über diesen Hop möglich. Ein anderer Workaround bezieht sich darauf, unnötigen H.323-Verkehr am Netzwerk-Perimeter mittels Firewalling zu blocken. Dadurch muss lediglich der TCP-Port 1720 limitiert werden. Entsprechend ist aber dann auch keine H.323-Kommunikation zwischen dem lokalen und dem ungeschützten Netzwerk mehr möglich. Microsoft hat jedoch einen Patch für die Schwachstelle herausgegeben, der keine solchen Einschränkungen wie diejenige der Workarounds haben. Dieser Bugfix kann auch über das Windows Autoupdate bezogen werden. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (14177) und Tenable (11992) dokumentiert. Weitere Informationen werden unter vuldb.com bereitgestellt. Die Einträge 476 sind sehr ähnlich.
Für den Vulnerability Scanner Nessus wurde am 14.01.2004 ein Plugin mit der ID 11992 (MS04-001: Vulnerability in Microsoft ISA Server 2000 H.323 Filter(816458)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows : Microsoft Bulletins zugeordnet und im Kontext l ausgeführt.
Wie sich mittlerweile herausgestellt hat, bereitet die Unterstützung von H.323 so manchem Produkt Probleme. Als erstes wurde ein entsprechender Fehler, der sich jedoch angeblich nur auf eine Denial of Service-Schwachstelle reduzierte, in den Cisco-Produkten aufgedeckt (siehe scipID 476). Beim ISA Server von Microsoft sei angeblich aber auch noch gleich das Ausführen von Programmcode möglich. Es bleibt abzuwarten, welcher Aufwand noch durch H.323 generiert werden wird. In der Zwischenzeit gilt es daher die Augen offen zu halten und bei Betroffenheit unverzüglich Gegenmassnahmen einzuleiten.
Produkt
Typ
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 8.6VulDB Meta Temp Score: 8.2
VulDB Base Score: 8.6
VulDB Temp Score: 8.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: PufferüberlaufCWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 11992
Nessus Name: MS04-001: Vulnerability in Microsoft ISA Server 2000 H.323 Filter(816458)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
OpenVAS ID: 11992
OpenVAS Name: Vulnerability in Microsoft ISA Server 2000 H.323 Filter(816458)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Patch: MS04-001
TippingPoint: 🔍
McAfee IPS: 🔍
McAfee IPS Version: 🔍
ISS Proventia IPS: 🔍
Timeline
13.01.2004 🔍13.01.2004 🔍
13.01.2004 🔍
13.01.2004 🔍
13.01.2004 🔍
14.01.2004 🔍
14.01.2004 🔍
15.01.2004 🔍
17.02.2004 🔍
09.03.2021 🔍
Quellen
Hersteller: microsoft.comAdvisory: MS04-001
Person: http://www.niscc.gov.uk
Firma: UK National Infrastructure Security Co-ordination
Status: Bestätigt
CVE: CVE-2003-0819 (🔍)
OVAL: 🔍
X-Force: 14177
SecurityTracker: 1008698 - Microsoft Internet Security and Acceleration Server H.323 Buffer Overflow Lets Remote Users Execute Arbitrary Code
Vulnerability Center: 3450 - [MS04-001] Buffer Overflow in Microsoft ISA Server 2000, High
SecuriTeam: securiteam.com
SecurityFocus: 9408 - Microsoft ISA Server 2000 H.323 Filter Remote Buffer Overflow Vulnerability
Secunia: 10611 - Microsoft ISA Server 2000 H.323 Protocol Filter Vulnerability, Highly Critical
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 15.01.2004 09:57Aktualisierung: 09.03.2021 10:16
Anpassungen: 15.01.2004 09:57 (92), 08.10.2018 15:43 (6), 09.03.2021 10:16 (3)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.