| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.1 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine sehr kritische Schwachstelle in Microsoft Windows NT 4.0/2000/XP/Server 2003 gefunden. Betroffen davon ist die Funktion PerformScmStage der Komponente RPC DCOM. Die Manipulation führt zu Pufferüberlauf.
Diese Schwachstelle trägt die Bezeichnung CVE-2003-0605. Umgesetzt werden kann der Angriff über das Netzwerk. Zusätzlich gibt es einen verfügbaren Exploit.
Es ist ratsam, einen Patch zu implementieren, um dieses Problem zu beheben.
Details
Die The Last Stage of Delirium Research Group fand eine schwerwiegende Schwachstelle in den Windows-Betriebssystemen. Das über RPC (Remote Procedure Call) realisierte DCOM-Iinterface weist einen Pufferüberlauf auf. Distributed COM (DCOM) dient zur Kommunikation von Software-Komponenten über das Netzwerk, ähnlich wie COM die Zusammenarbeit von Komponenten auf einem Rechner ermöglicht. Ein speziell formatiertes Paket an einen der NetBIOS-Ports kann beliebigen Programmcode auf dem Zielsystem ausführen lassen. Wie auf Full-Disclosure heiss diskutiert und unter anderem bei heise.de berichtet wurde, sind verschiedene Exploits verfügbar. Einige von ihnen funktionieren und lassen beliebigen Programmcode ausführen. Andere hingegen sind fehlerhaft und führen lediglich einen Denial of Service-Zugriff durch. Es scheint als wäre das Verhalten von der Sprachversion abhängig. Microsoft wurde frühzeitig über das Problem informiert und reagierte mit einem Patch. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (12679), Exploit-DB (103), Tenable (11798), SecurityFocus (BID 8234†) und OSVDB (11460†) dokumentiert. Zusätzliche Informationen finden sich unter msdn.microsoft.com. Die Schwachstellen VDB-277, VDB-20815 und VDB-21476 sind ähnlich. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Für den Vulnerability Scanner Nessus wurde am 22.07.2003 ein Plugin mit der ID 11798 (MS03-039: Microsoft Windows RPC DCOM Interface epmapper Pipe Hijack Local Privilege Escalation (824146) (intrusive check)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 68522 (Microsoft Windows DCOM RPCSS Service Vulnerabilities (MS03-039)) zur Prüfung der Schwachstelle an.
Besonders kritisch ist die Schwachstelle, weil Port 135 standardmässig auf allen Windows-Systemen immer offen ist und sich schwer mit den Boardmitteln schliessen lässt. Diesen Port mittels Firewalling abzuschotten wird seit vielen Jahren aus Sicherheitsgründen angeraten. Es ist nun nur noch eine Frage der Zeit, bis entsprechende Exploits herumgereicht werden, die das Ausnutzen der Schwachstelle ermöglichen. Es ist damit zu rechnen, dass diese Sicherheitslücke mindesten eine Popularität von smbdie (eine Denial of Service-Schwachstelle) erreichen wird. Umso dringender ist anzuraten, den von Microsoft zeitgleich mit dem Advisory herausgegebenen Patch zu installieren.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.microsoft.com/
- Produkt: https://www.microsoft.com/en-us/windows
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.6VulDB Meta Temp Score: 5.1
VulDB Base Score: 5.6
VulDB Temp Score: 5.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: PufferüberlaufCWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 11798
Nessus Name: MS03-039: Microsoft Windows RPC DCOM Interface epmapper Pipe Hijack Local Privilege Escalation (824146) (intrusive check)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
OpenVAS ID: 102015
OpenVAS Name: Microsoft RPC Interface Buffer Overrun (KB824146)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Exploit Delay Time: 🔍
Patch: microsoft.com
Snort ID: 15512
Snort Message: NETBIOS DCERPC NCACN-IP-TCP rpcss2 _RemoteGetClassObject attempt
Snort Klasse: 🔍
Snort Pattern: 🔍
Suricata ID: 2102251
Suricata Klasse: 🔍
Suricata Message: 🔍
TippingPoint: 🔍
McAfee IPS: 🔍
McAfee IPS Version: 🔍
SourceFire IPS: 🔍
ISS Proventia IPS: 🔍
PaloAlto IPS: 🔍
Fortigate IPS: 🔍
Timeline
01.01.2003 🔍16.07.2003 🔍
17.07.2003 🔍
20.07.2003 🔍
21.07.2003 🔍
22.07.2003 🔍
25.07.2003 🔍
06.08.2003 🔍
27.08.2003 🔍
09.04.2004 🔍
31.12.2024 🔍
Quellen
Hersteller: microsoft.comProdukt: microsoft.com
Advisory: MS03-039
Person: Flashsky
Firma: The Last Stage of Delirium Research Group
Status: Bestätigt
CVE: CVE-2003-0605 (🔍)
GCVE (CVE): GCVE-0-2003-0605
GCVE (VulDB): GCVE-100-178
OVAL: 🔍
CERT: 🔍
X-Force: 12679 - Microsoft Windows RPC DCOM denial of service, Medium Risk
SecurityFocus: 8234
Secunia: 9287 - Windows RPC DCOM Interface Buffer Overflow Vulnerability, Moderately Critical
OSVDB: 11460 - Microsoft Windows RPC DCOM Interface epmapper Pipe Hijack Local Privilege Escalation
SecuriTeam: securiteam.com
Vulnerability Center: 1593 - [MS03-039] DoS in Windows 2000 RPC DCOM Interface via Malformed Requests, High
TecChannel: 534 [404 Not Found]
scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 17.07.2003 12:08Aktualisierung: 31.12.2024 05:32
Anpassungen: 17.07.2003 12:08 (116), 30.04.2019 15:08 (1), 08.03.2021 14:23 (2), 08.03.2021 14:29 (1), 31.12.2024 05:32 (15)
Komplett: 🔍
Cache ID: 216:A6F:103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.