Kritisk sårbarhet avslørt i Windows-servere

Microsoft advarer om at en sårbarhet i navnetjenestedatabasen på Windows-servere kan blottlegge interne tjenester.

Microsoft sendte i går ut en sikkerhetsadvarsel, Microsoft Security Bulletin MS03-001: Unchecked Buffer in Locator Service Could Lead to Code Execution, som er årets første med risikovurderingen kritisk.

Advarselen gjelder både klient- og serverutgaver av Windows NT 4.0 og Windows 2000, samt Windows XP.

En fiks for alle systemene er gjort tilgjengelig.

Microsoft anbefaler at alle som kjører domenekontrollere under NT 4.0 eller Windows 2000 oppgraderer straks.

Sårbarheten gjelder tjenesten RPC Locator (Remote Procedure Call) som inneholder tilordningen mellom navnene på objekter i nettverket, og deres faktiske adresser i nettverket, altså navnetjenestedatabasen. En klient som trenger tilgang til en bestemt skriver, bruker RPC til å kalle opp Locator og lokalisere den med utgangspunkt i det skriveren heter på nettverket, for eksempel "Toms fargeskriver".

Tjenesten er åpen for alle, og krever verken brukernavn eller passord. Sårbarheten gjelder en usikret buffer i Locator, slik at en innsiktsfull person kan formulere en forespørsel som setter tjenesten ut av spill, og får serveren til å kjøre ondsinnet kode.

To forhold bidrar til å minske risikoen ved sårbarheten. Det ene er at Locator-tjeneste i utgangspunktet bare er aktivert på domenekontrollere. På andre systemer kreves det administratorrettigheter for å aktivere den. Det andre forholdet er at en korrekt konfigurert brannmur vil sperre henvendelser utenfra til Locator.

Med andre ord vil sårbarheten i praksis bare kunne utnyttes av folk som allerede er innenfor.

Du kan sjekke tjenestens status ved å åpne kontrollpanelet og velge "Tjenester" ("Services") under "Administrative verktøy" ("Administrative Tools"). Da får du opp en liste med status over en rekke tjenester, blant dem RPC Locator.

Microsofts fiks tetter hullet ved å sikre bufferen mot ugyldige henvendelser.

Til toppen