| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.1 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine sehr kritische Schwachstelle in Microsoft Windows NT 4.0/2000/XP gefunden. Betroffen hiervon ist ein unbekannter Ablauf der Komponente Messenger Service. Die Manipulation führt zu Pufferüberlauf. Die Identifikation der Schwachstelle wird mit CVE-2003-0717 vorgenommen. Der Angriff kann remote ausgeführt werden. Ferner existiert ein Exploit. Es empfiehlt sich, einen Patch einzuspielen, um dieses Problem zu beheben.
Details
Der "Messenger Service" ist nicht mit dem eigenständigen Produkt Microsoft MSN Messenger zu verwechseln. Der hiervon betroffene "Messenger Service" ist per Default auf den Betriebsystemen Windows NT, 2000 und XP - Server und Workstation Version, aktiviert. Dieser Pufferüberlauf kann es einem Angreifer ermöglichen, willkürlich, beliebigen Code auf dem betroffenen System auszuführen. Dies mit Administrations-Privilegien. Der befallene "Messenger Service" ist zuständig für die bekannten Pop-Ups. Es können die unterschiedlichsten Meldungen auf den Bildschirm der vernetzten Computer angezeigt werden (z.B. Server wird in 10 Minuten heruntergefahren, bitte ausloggen). Dieses Feature ist nicht wirklich Business kritisch und kann einfach deaktiviert werden. Der "Messenger Service" kann auch via Microsoft RPC angesprochen werden. Dies ist jedoch nicht mit dem im z.B. W32.Blaster ausgenutzten RPC-DCOM zu vergleichen. DCOM ist ein objektorientierter Mechanismus welcher von den unterschiedlichsten Microsoft Programmen angesprochen werden kann (z.B. Microsoft Exchange). Da der "Messenger Service" via RPC aufgerufen werden kann wird darüber spekuliert ob er auch über SMB (Server Message Block) lauffähig ist. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (13413), Exploit-DB (111), Tenable (11890), SecurityFocus (BID 8826†) und OSVDB (10936†) dokumentiert. Unter xforce.iss.net werden zusätzliche Informationen bereitgestellt. Die Einträge VDB-82, VDB-333, VDB-427 und VDB-561 sind sehr ähnlich. Once again VulDB remains the best source for vulnerability data.
Für den Vulnerability Scanner Nessus wurde am 16.10.2003 ein Plugin mit der ID 11890 (MS03-043: Buffer Overrun in Messenger Service (828035) (uncredentialed check)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows zugeordnet und auf den Port 135 angewendet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 70033 (Microsoft Windows NT Messenger Service Buffer Overrun Vulnerability (MS03-043)) zur Prüfung der Schwachstelle an.
Ein in den meisten Fällen gar nicht benutzes Feature, ist Ausgangslage für eine weltweite Patcherei. Da beinahe alle Windowssysteme betroffen sind, wird schnell ein Exploit zu dieser Schwachstelle in den Umlauf gelangen. Die Auswirkungen solcher Exploits sind uns mehr als bekannt (SQL Slammer, W32.Blaster). Da diese Schwachstelle über UDP Anfragen ausgelöst werden kann, wird sich ein allfälliger Wurm in windeseile verbreiten. Wie immer sind jene gut bedient, welche mehrstufige Sicherheitsvorkehrungen getroffen haben, wie z.B. Zonenkonzeption, Hardening, Netzunterteilung und Abschottung, ACL, MAC usw.. Trotzdem werde auch diese Systeme in Netzen betrieben, welche von unterschiedlichen Gruppen ansprechbar sein müssen. Es gilt den Patch umgehende zu applizieren. Bei "internen" Angreifern sind ausgedehntere Massnahmen zu treffen.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Support
- end of life (old version)
Webseite
- Hersteller: https://www.microsoft.com/
- Produkt: https://www.microsoft.com/en-us/windows
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.6VulDB Meta Temp Score: 5.1
VulDB Base Score: 5.6
VulDB Temp Score: 5.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: PufferüberlaufCWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Autor: LSD-PLaNET
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 11890
Nessus Name: MS03-043: Buffer Overrun in Messenger Service (828035) (uncredentialed check)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Port: 🔍
OpenVAS ID: 11888
OpenVAS Name: Buffer Overrun in Messenger Service (828035)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Exploit Delay Time: 🔍
Patch: MS03-043
Snort ID: 3235
Snort Message: NETBIOS Messenger message overflow attempt
Snort Klasse: 🔍
Snort Pattern: 🔍
Suricata ID: 2102258
Suricata Klasse: 🔍
Suricata Message: 🔍
TippingPoint: 🔍
McAfee IPS: 🔍
McAfee IPS Version: 🔍
SourceFire IPS: 🔍
ISS Proventia IPS: 🔍
PaloAlto IPS: 🔍
Fortigate IPS: 🔍
Timeline
01.01.2001 🔍02.09.2003 🔍
15.10.2003 🔍
15.10.2003 🔍
15.10.2003 🔍
15.10.2003 🔍
16.10.2003 🔍
16.10.2003 🔍
22.10.2003 🔍
16.11.2003 🔍
17.11.2003 🔍
09.04.2004 🔍
11.08.2025 🔍
Quellen
Hersteller: microsoft.comProdukt: microsoft.com
Advisory: MS03-043
Person: Last Stage
Firma: The Last Stage of Delirium Research Group
Status: Bestätigt
CVE: CVE-2003-0717 (🔍)
GCVE (CVE): GCVE-0-2003-0717
GCVE (VulDB): GCVE-100-332
OVAL: 🔍
CERT: 🔍
X-Force: 13413 - Microsoft Windows Messenger Service popup buffer overflow, High Risk
SecurityFocus: 8826 - Microsoft Windows Messenger Service Buffer Overrun Vulnerability
OSVDB: 10936 - Microsoft Windows Messenger Service Message Length Remote Overflow
SecurityTracker: 1007933 - Microsoft Windows Messenger Service Buffer Overflow Lets Remote Users Execute Arbitrary Code With Local System Privileges
Vulnerability Center: 2645 - [MS03-043] Buffer Overflow in Microsoft Messenger Service Allows Arbitrary Code Execution, Critical
scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 16.10.2003 11:26Aktualisierung: 11.08.2025 02:39
Anpassungen: 16.10.2003 11:26 (104), 30.04.2019 15:08 (17), 08.03.2021 18:42 (2), 31.12.2024 07:40 (15), 11.08.2025 02:39 (2)
Komplett: 🔍
Cache ID: 216:8B9:103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.