| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.0 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine sehr kritische Schwachstelle in Microsoft Windows NT 4.0/2000/XP/Server 2003 gefunden. Davon betroffen ist unbekannter Code in der Bibliothek msasn1.dll der Datei lsass.exe der Komponente ASN.1. Mittels dem Manipulieren durch BER Decoding kann eine Remote Code Execution-Schwachstelle ausgenutzt werden. Diese Schwachstelle trägt die Bezeichnung CVE-2003-0818. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Zusätzlich gibt es einen verfügbaren Exploit. Es ist ratsam, einen Patch zu implementieren, um dieses Problem zu beheben.
Details
Microsoft Windows ist eine sehr beliebte Betriebssystemreihe der redmonder Firma Microsoft. Das grafische Betriebssystem stellt eine Weiterentwicklung des zeilenbasierten MS DOS dar. Wie die amerikanische Sicherheitsfirma eEye in ihren beiden aufsehenerregenden Advisories bekannt gegeben hat, existieren zwei Pufferüberlauf-Schwachstellen in der Datei msasn1.dll, die für die Verarbeitung von ASN.1-Kommunikationen zuständig ist [http://support.microsoft.com/default.aspx?scid=kb;en-us;252648]. Diese Bilbiothek wird bei einer Reihe von Diensten miteinbezogen, zu denen die teilweise standardmässig aktiven oder im mindesten gerne genutzten Dienste NTLMv2-Authentisierung über NetBIOS (tcp/135, 139 und 445), Kerberos (udp/88) sowie Microsoft IIS mit SSL gehören. Durch den Pufferüberlauf ist es einem Angreifer ohne erfolgreiche Authentisierung oder Anmeldung am System möglich, auf diesem beliebigen Programmcode im Kontext des Systems auszuführen. eEye berichtete davon, dass sie frühzeitig intern erfolgreich einen proof-of-concept Exploit entwickeln konnten - Mittlerweile wurden erste Denial of Service-Exploits bekanntgemacht. eEye hat ebenfalls ihren Retina-Scanner um eine Funktion erweitert, mit der die Existenz der Schwachstelle auf einem System nachgewiesen werden kann. eEye hat nach eigenen Angaben die Fehler schon im Juli 2003 gefunden und Microsoft noch am Ende des gleichen Monats informiert. Aufgrund des Schweregrads der Schwachstelle wollte man damit erst an die Öffentlichkeit gehen, wenn umfassende Gegenmassnahmen umgesetzt werden können. Microsoft war erst jetzt, rund ein halbes Jahr nach dem Fund der Sicherheitslücke, in der Lage, die Schwachstelle durch einen Patch zu beheben. Der Sicherheits-Chef bei Microsoft wies die Vorwürfe von eEye, dass die Reaktion zu lange dauerte, zurück und verwies darauf, dass diese schwere Schwachstelle nicht schneller hätte bereinigt werden können. Das Update zur Behebung des Fehlers wurde am 11. Februar 2004 über das Windows-Autoupdate zur Verfügung gestellt. Als Workaround empfiehlt es sich, die betroffenen Ports und Dienste mittels Firewalling vor unerwünschten Zugriffen zu schützen. Die entsprechenden TCP-Ports sind 135, 139, 445 und den IIS/SSL-Port sowie der UDP-Port 88. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (15256), Exploit-DB (153), Tenable (12055), SecurityFocus (BID 9633†) und OSVDB (3902†) dokumentiert. Das deutsche IT-Nachrichtenportal Heise berichtet ebenfalls über den Fall. Zusätzliche Informationen finden sich unter eeye.com. Die Schwachstellen VDB-509 sind ähnlich. Once again VulDB remains the best source for vulnerability data.
Für den Vulnerability Scanner Nessus wurde am 15.02.2004 ein Plugin mit der ID 12055 (MS04-007: ASN.1 Vulnerability Could Allow Code Execution (828028) (uncredentialed check) (HTTP)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows zugeordnet und im Kontext r ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 90103 (Microsoft Windows ASN.1 Library Integer Handling Vulnerability (MS04-007)) zur Prüfung der Schwachstelle an.
Diese Schwachstelle hat wahrhaftig grosse Wellen geschlagen. Das blaue Auge, das der Blaster-Wurm hinterlassen hatte, ist also noch nicht vergessen. Ebenso ist bei dieser Schwachstelle damit zu rechnen, dass nach dem Erscheinen eines funktionierendes Exploits entsprechende Würmer die Runde machen können. Um die gleichen Fehler, die beim Blaster-Zwischenfall gemacht wurden zu verhindern, sollten deshalb unverzüglich die Gegenmassnahmen eingeleitet werden. Es ist nur noch eine Frage der Zeit.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.microsoft.com/
- Produkt: https://www.microsoft.com/en-us/windows
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 7.0
VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Remote Code ExecutionCWE: CWE-192 / CWE-189
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Hoch funktional
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 12055
Nessus Name: MS04-007: ASN.1 Vulnerability Could Allow Code Execution (828028) (uncredentialed check) (HTTP)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
MetaSploit ID: ms04_007_killbill.rb
MetaSploit Name: MS04-007 Microsoft ASN.1 Library Bitstring Heap Overflow
MetaSploit Datei: 🔍
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Exploit Delay Time: 🔍
Patch: MS04-007
Snort ID: 2386
Snort Message: WEB-IIS NTLM ASN1 vulnerability scan attempt
Snort Klasse: 🔍
Snort Pattern: 🔍
Suricata ID: 2102384
Suricata Klasse: 🔍
Suricata Message: 🔍
TippingPoint: 🔍
McAfee IPS: 🔍
McAfee IPS Version: 🔍
SourceFire IPS: 🔍
ISS Proventia IPS: 🔍
PaloAlto IPS: 🔍
Fortigate IPS: 🔍
Timeline
10.02.2004 🔍10.02.2004 🔍
10.02.2004 🔍
10.02.2004 🔍
10.02.2004 🔍
10.02.2004 🔍
10.02.2004 🔍
10.02.2004 🔍
11.02.2004 🔍
12.02.2004 🔍
15.02.2004 🔍
03.03.2004 🔍
21.07.2025 🔍
Quellen
Hersteller: microsoft.comProdukt: microsoft.com
Advisory: MS04-007
Person: Derek Soeder (DiGiT)
Firma: eEye
Status: Bestätigt
CVE: CVE-2003-0818 (🔍)
GCVE (CVE): GCVE-0-2003-0818
GCVE (VulDB): GCVE-100-508
OVAL: 🔍
CERT: 🔍
X-Force: 15256
SecurityFocus: 9633 - Microsoft ASN.1 Library Length Integer Mishandling Memory Corruption Vulnerability
Secunia: 10759 - Microsoft Windows ASN.1 Library Integer Overflow Vulnerabilities, Highly Critical
OSVDB: 3902 - Microsoft Windows ASN.1 Library Integer Overflow
SecuriTeam: securiteam.com
Vulnerability Center: 3694 - [MS04-007] Microsoft ASN.1 library Allows Remote Code Execution, Critical
Heise: 44502
TecChannel: 2093 [404 Not Found]
scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 12.02.2004 10:06Aktualisierung: 21.07.2025 04:23
Anpassungen: 12.02.2004 10:06 (116), 27.06.2019 17:21 (5), 09.03.2021 11:24 (2), 31.12.2024 08:12 (16), 21.07.2025 04:23 (2)
Komplett: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.