| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.2 | $0-$5k | 0.00 |
Zusammenfassung
Eine kritische Schwachstelle wurde in Microsoft Windows 2000/Server 2003/Vista/XP gefunden. Betroffen ist die Funktion PostThreadMessage. Mittels dem Manipulieren mit unbekannten Daten kann eine unbekannte Schwachstelle ausgenutzt werden.
Der Angriff muss innerhalb des lokalen Netzwerks erfolgen. Ferner existiert ein Exploit.
Es wird empfohlen, die betroffene Komponente mit einer alternativen Komponente zu ersetzen.
Details
Microsoft Windows ist das mitunter populärste Betriebssystem für Computersysteme. Wie Brett Moore berichtet, kann ein lokaler Benutzer jedes beliebige aktive Programm beenden, auch wenn dies durch einen anderen Benutzer ausgeführt und durch ihn nicht beeinträchtigt werden können dürfte. Der Grund dafür liegt in einem Designfehler des Betriebssystems. So erlaubt die API PostThreadMessage nach Belieben den Versand der Nachrichten WM_QUIT, WM_CLOSE oder WM_DESTROY. Beispielsweise könnten so Sicherheitsprogramme ausgeschaltet werden, die durch den Arbeitgeber vorgeschrieben werden (z.B. Antivirus, Personal Firewall oder Überwachungs-Software). Ein erfolgreicher Angriff setzt voraus, dass der attackierte Thread eine Nachrichten-Queue besitzt, da sonst der Aufruf nicht angenommen werden kann. Laut verschiedener Gerüchte war bereits beim Bekanntwerden der Schwachstelle ein Proof-of-Concept Exploit im Umlauf. Dieser wurde einen Tag später auf SecuriTeam.com und SecurityFocus.com veröffentlicht. Als Workaround wird empfohlen, nur vertrauenswürdigen Benutzern den Zugriff auf Windows-Systeme zuzulassen. Unter anderem wird der Fehler auch in den Datenbanken von SecurityFocus (BID 8747†), OSVDB (2642†) und Secunia (SA9921†) dokumentiert. Weitere Informationen werden unter xforce.iss.net bereitgestellt. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Da es sich hierbei um einen grundlegenden Designfehler im System handelt, kann dieser nicht so ohne weiteres behoben werden. Dazu wären sehr intensive Eingriffe in das System oder gar eine komplette Neugestaltung dessen erforderlich. Die Schwachstelle zeigt jedoch sehr eindrücklich, dass Designfehler verheehrende Folgen haben können. Besonders in professionellen Umgebungen, in denen Antiviren-Lösungen den Versand von zwielichtigen Programmen verhindern, könnte diese Angriffsart ein hohes Mass an Popularität erlangen. Leider sind den Administratoren und Benutzern die Hände gebunden, so dass lediglich ein erhöhtes Mass an Sicherheitsbewusstsein das Risiko eines erfolgreichen Angriffs zu minimieren in der Lage ist.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Support
- end of life (old version)
Webseite
- Hersteller: https://www.microsoft.com/
- Produkt: https://www.microsoft.com/en-us/windows
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.5VulDB Meta Temp Score: 5.2
VulDB Base Score: 5.5
VulDB Temp Score: 5.2
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: Unbekannt
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Teilweise
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: AlternativeStatus: 🔍
0-Day Time: 🔍
Patch: microsoft.com
Timeline
17.02.2000 🔍02.10.2003 🔍
02.10.2003 🔍
03.10.2003 🔍
06.10.2003 🔍
19.08.2018 🔍
Quellen
Hersteller: microsoft.comProdukt: microsoft.com
Advisory: securiteam.com⛔
Person: Brett Moore
Firma: Security-Assessment.com
Status: Nicht definiert
GCVE (VulDB): GCVE-100-312
SecurityFocus: 8747 - Microsoft Windows PostThreadMessage() Arbitrary Process Killing Vulnerability
Secunia: 9921 - Microsoft Windows Unauthorised Thread Termination, Less Critical
OSVDB: 2642 - Microsoft Windows Unauthorised Thread Termination
SecuriTeam: securiteam.com
TecChannel: 1183 [404 Not Found]
scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍
Eintrag
Erstellt: 06.10.2003 14:03Aktualisierung: 19.08.2018 20:00
Anpassungen: 06.10.2003 14:03 (65), 19.08.2018 20:00 (2)
Komplett: 🔍
Cache ID: 216:2A3:103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.