Devastator23
Hi!
Der bekannte Secure-Experte Steve Gibson hat ein kostenloses Tool entwickelt, mit dem die seit längeren Wochen bereits bekannte schwerwiegende RPC/DCOM Sicherheitslücke auch von weniger erfahrenen Anwendern gefahrlos geschlossen werden kann.
Das gerade mal 29 Kb kleine Tool bietet eine grafische Oberfläche in Form eines Hauptfensters, in dem mehrere Reiter verschiedene Funktionen zum Test der Verwundbarkeit, Angriffspotential auf Port 135 sowie die Aktivierung und Deaktivierung des DCOM Dienstes ausgewählt werden können.
Auf der Hauptseite des Fensters findet der Anwender zunächst eine ausführliche Erklärung der Sicherheitslücke. Da der Text nur in englischer Sprache verfügbar ist, wurde die wichtigsten Passagen der Einfachkeit halber hier deutsch übersetzt (Original von Steve Gibson, Entwickler und Herausgeber des Tools):
Was ist DCOM?
Windows bietet ein Componenten basiertes System zur Programmierhilfe zur Verwaltung komplexer Anwendungen. Dieses System nennt sich COM für "Component Object Model". Viele System-Komponenten und Anwendungsprogramme sind mit Hilfe von individuellen "COM" Komponenten übersetzt. Microsoft propagiert dieses Verfahren, da dieses Verfahren die Kommunikation und die Zusammenarbeit von Programmen auf verschiedenen Maschinen in einem Netzwerk ermöglicht. "Distributed COM (DCOM) ermöglicht dieses Zusammenspiel. DCOM benutzt hierfür ein bereits existierendes Netzwerk Protokoll namens "Remote Procedure Call (RPC), dass über Port 135 die verschiedenen COM Objekte über ein Netzwerk verwaltet.
Wo liegt das Problem?
Das Problem findet sich in den mächtigen Funktionen dieses Werkzeugs selbst, dass praktisch jedem auch fremden Internet-Benutzer die Kontaktaufnahme zu einem COM Objekt erlaubt. Diese Funktion ist als Standardeinstellung im Betriebssystem aktiviert. Microsoft hat zwar zwischenzeitlich verschiedene Patches zur Behebung dieser definierten Sicherheitslücke zur Verfügung gestellt. Es ist jedoch davon auszugehen, dass noch weitere Lücken im komplexen DCOM Modul zu finden sind.
Wie sieht die Lösung aus?
Die einfachste Lösung ist die Deaktivierung, was bedeutet, dass keine Internet-Anwendung mehr auf DCOM zugreifen und es benutzen kann. Einige Windows-Programme unterstützen DCOM. Sie fordern DCOM aber weder an noch stellen sie ihre Arbeit beim Nichtvorhandensein von DCOM ein. Microsoft hätte DCOM niemals als Standard aktivieren dürfen und hätte besser einen sicheren Patch zur Verfügung stellen sollen. Jedoch führen sämtliche Windows Systeme DCOM auch nach der Installation der verfügbaren Patches weiterhin aus und die Netzgemeinde wartet auf die nächste Katastrophe.
Das Tool könnt ihr hier (http://grc.com/dcom/) runterladen. ;)
Der bekannte Secure-Experte Steve Gibson hat ein kostenloses Tool entwickelt, mit dem die seit längeren Wochen bereits bekannte schwerwiegende RPC/DCOM Sicherheitslücke auch von weniger erfahrenen Anwendern gefahrlos geschlossen werden kann.
Das gerade mal 29 Kb kleine Tool bietet eine grafische Oberfläche in Form eines Hauptfensters, in dem mehrere Reiter verschiedene Funktionen zum Test der Verwundbarkeit, Angriffspotential auf Port 135 sowie die Aktivierung und Deaktivierung des DCOM Dienstes ausgewählt werden können.
Auf der Hauptseite des Fensters findet der Anwender zunächst eine ausführliche Erklärung der Sicherheitslücke. Da der Text nur in englischer Sprache verfügbar ist, wurde die wichtigsten Passagen der Einfachkeit halber hier deutsch übersetzt (Original von Steve Gibson, Entwickler und Herausgeber des Tools):
Was ist DCOM?
Windows bietet ein Componenten basiertes System zur Programmierhilfe zur Verwaltung komplexer Anwendungen. Dieses System nennt sich COM für "Component Object Model". Viele System-Komponenten und Anwendungsprogramme sind mit Hilfe von individuellen "COM" Komponenten übersetzt. Microsoft propagiert dieses Verfahren, da dieses Verfahren die Kommunikation und die Zusammenarbeit von Programmen auf verschiedenen Maschinen in einem Netzwerk ermöglicht. "Distributed COM (DCOM) ermöglicht dieses Zusammenspiel. DCOM benutzt hierfür ein bereits existierendes Netzwerk Protokoll namens "Remote Procedure Call (RPC), dass über Port 135 die verschiedenen COM Objekte über ein Netzwerk verwaltet.
Wo liegt das Problem?
Das Problem findet sich in den mächtigen Funktionen dieses Werkzeugs selbst, dass praktisch jedem auch fremden Internet-Benutzer die Kontaktaufnahme zu einem COM Objekt erlaubt. Diese Funktion ist als Standardeinstellung im Betriebssystem aktiviert. Microsoft hat zwar zwischenzeitlich verschiedene Patches zur Behebung dieser definierten Sicherheitslücke zur Verfügung gestellt. Es ist jedoch davon auszugehen, dass noch weitere Lücken im komplexen DCOM Modul zu finden sind.
Wie sieht die Lösung aus?
Die einfachste Lösung ist die Deaktivierung, was bedeutet, dass keine Internet-Anwendung mehr auf DCOM zugreifen und es benutzen kann. Einige Windows-Programme unterstützen DCOM. Sie fordern DCOM aber weder an noch stellen sie ihre Arbeit beim Nichtvorhandensein von DCOM ein. Microsoft hätte DCOM niemals als Standard aktivieren dürfen und hätte besser einen sicheren Patch zur Verfügung stellen sollen. Jedoch führen sämtliche Windows Systeme DCOM auch nach der Installation der verfügbaren Patches weiterhin aus und die Netzgemeinde wartet auf die nächste Katastrophe.
Das Tool könnt ihr hier (http://grc.com/dcom/) runterladen. ;)