MS03-010: Fout in RPC Endpoint Mapper maakt Denial-of-Service-aanvallen mogelijk

Artikel ID: 331953 - Bekijk de producten waarop dit artikel van toepassing is.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Symptomen

In het gedeelte van de RPC-functionaliteit dat de berichtenuitwisseling over TCP/IP verzorgt, is een beveiligingsprobleem geconstateerd. Dit probleem is het gevolg van een onjuiste afhandeling van berichten met een verkeerde indeling. Dit specifieke beveiligingsprobleem is van invloed op het proces RPC Endpoint Mapper. Dit proces luistert op TCP/IP-poort 135. De service RPC Endpoint Mapper biedt RPC-clients de mogelijkheid het poortnummer vast te stellen dat is toegewezen aan een bepaalde RPC-service.
Naar boven | Geef ons feedback

Oorzaak

Microsoft heeft updates geleverd om dit probleem op te lossen voor Windows 2000 en Windows XP. Hoewel het probleem ook kan optreden onder Windows NT 4.0, kan Microsoft geen update voor dit probleem leveren voor Windows NT 4.0. De architectuur van Windows NT 4.0 kent een aantal beperkingen waardoor geen ondersteuning beschikbaar is voor de wijzigingen die nodig zijn om dit probleem weg te nemen. Gebruikers van Windows NT 4.0 wordt geadviseerd de oplossing te gebruiken die wordt beschreven in beveiligingsbulletin MS03-10. Deze oplossing houdt in dat u het Windows NT 4.0-systeem beveiligt met een firewall die poort 135 blokkeert. Ga naar de volgende Microsoft-website om het beveiligingsbulletin MS03-10 te lezen:
http://www.microsoft.com/technet/security/bulletin/MS03-010.mspx
(http://www.microsoft.com/technet/security/bulletin/MS03-010.mspx)

Beperkende factoren

  • Een aanvaller kan dit beveiligingslek alleen gebruiken als verbinding kan worden gemaakt met de Endpoint Mapper-service die wordt uitgevoerd op de doelcomputer. In een intranetomgeving is de service Endpoint Mapper meestal vrij toegankelijk. Als computers zijn verbonden met internet, wordt de poort die wordt gebruikt door Endpoint Mapper meestal geblokkeerd door een firewall. In een scenario waarbij deze poort niet is geblokkeerd, of in een intranetconfiguratie, heeft de aanvaller geen extra beheerdersreferenties nodig.
  • Het is daarom raadzaam alle TCP/IP-poorten te blokkeren die niet daadwerkelijk worden gebruikt. Op de meeste computers die zijn verbonden met internet, is poort 135 dan ook geblokkeerd. RPC over TCP is niet geschikt voor gebruik in onveilige omgevingen zoals internet. Voor dergelijke omgevingen zijn stabielere protocollen zoals RPC over HTTP ontwikkeld. Bezoek voor meer informatie over het beveiligen van RPC voor client en server de volgende Microsoft-website:
    http://msdn2.microsoft.com/en-us/library/aa379441.aspx
    (http://msdn2.microsoft.com/en-us/library/aa379441.aspx)
    Als u meer informatie wilt over de poorten die worden gebruikt door RPC, kunt u de volgende website van Microsoft bezoeken:
    http://technet2.microsoft.com/WindowsServer/en/library/4dbc4c95-935b-4617-b4f8-20fc947c72881033.mspx?mfr=true
    (http://technet2.microsoft.com/WindowsServer/en/library/4dbc4c95-935b-4617-b4f8-20fc947c72881033.mspx?mfr=true)
  • Dit beveiligingslek kan alleen worden misbruikt met een Denial-of-Service-aanval. Een aanvaller heeft niet de mogelijkheid gegevens op de externe computer te wijzigen of op te halen.
Naar boven | Geef ons feedback

Oplossing

Informatie over het servicepack

Windows XP

U kunt dit probleem oplossen met het laatste servicepack voor Microsoft Windows XP. Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
322389
(http://support.microsoft.com/kb/322389/ )
Het meest recente servicepack voor Windows XP ophalen

Windows 2000

U lost dit probleem op door het meest recente servicepack voor Microsoft Windows 2000 te installeren. In het volgende Microsoft Knowledge Base-artikel vindt u meer informatie:
260910
(http://support.microsoft.com/kb/260910/ )
Het meest recente servicepack voor Windows 2000 ophalen

Informatie over de update

Downloadgegevens

U kunt de volgende bestanden downloaden van het Microsoft Downloadcentrum:

Windows XP Professional en Windows XP Home Edition
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket 331953 nu downloaden.
(http://microsoft.com/downloads/details.aspx?FamilyId=94213569-3258-4439-9AE7-5D86813B4D9E&displaylang=nl)
Windows XP 64-bits versie:
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket 331953 nu downloaden.
(http://microsoft.com/downloads/details.aspx?FamilyId=E3FB88CF-FA48-4426-A4F8-D18D8D4D2295&displaylang=en)
Windows 2000

Alle talen met uitzondering van NEC Japans:
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket 331953 nu downloaden.
(http://microsoft.com/downloads/details.aspx?FamilyId=BD55EB38-A5DE-4810-90F7-097C5B4B9919&displaylang=nl)
NEC Japans:
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
Het pakket 331953 nu downloaden.
(http://microsoft.com/downloads/details.aspx?FamilyId=3F7DC0DA-A684-43A8-B2E3-1EEDEEDC822C&displaylang=ja)
Releasedatum: 25.03.03

Voor meer informatie over het downloaden van Microsoft-ondersteuningsbestanden klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
119591
(http://support.microsoft.com/kb/119591/ )
Microsoft-ondersteuningsbestanden via onlineservices downloaden
Microsoft heeft dit bestand op virussen gecontroleerd. Hiervoor is de meest actuele software voor virusdetectie gebruikt die beschikbaar was op de datum dat het bestand beschikbaar werd gesteld. Het bestand is ondergebracht op beveiligde servers die onbevoegde wijzigingen aan het bestand helpen verhinderen.

Vereisten

De Windows 2000-versie van deze update vereist Windows 2000 Service Pack 2 (SP2) of Windows 2000 Service Pack 3 (SP3).

Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
260910
(http://support.microsoft.com/kb/260910/ )
Het meest recente servicepack voor Windows 2000 ophalen

Informatie over de installatie

Deze update kan worden geïnstalleerd met de volgende schakelopties:
  • /?: De lijst met schakelopties weergeven.
  • /u: De modus zonder toezicht gebruiken.
  • /f: Andere programma's gedwongen afsluiten wanneer de computer wordt afgesloten.
  • /n: Geen reservekopie maken van bestanden die worden verwijderd.
  • /o: OEM-bestanden zonder waarschuwing overschrijven.
  • /z: De computer niet opnieuw opstarten wanneer de installatie is voltooid.
  • /q: Stille modus gebruiken (geen gebruikersinteractie).
  • /l: Geïnstalleerde hotfixes weergeven.
  • /x: De bestanden uitpakken zonder het Setup-programma uit te voeren.
Als u de update bijvoorbeeld zonder tussenkomst van de gebruiker wilt installeren en u wilt aangeven dat de computer niet opnieuw moet worden opgestart, gebruikt u de volgende opdrachtregel:
q331953_wxp_sp2_x86_enu /u /q /z
U kunt controleren of de update is geïnstalleerd op uw computer door de volgende registersleutel te zoeken:

Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\Q331953
Windows XP met Service Pack 1 (SP1):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q331953
Windows 2000:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q331953

Gegevens over verwijderen

U kunt deze update verwijderen met het onderdeel Software in het Configuratiescherm.

Systeembeheerders kunnen deze update verwijderen met het hulpprogramma Spunist.exe. Spuninst.exe bevindt zich in de map %Windir%\$NTUninstallQ331953$\Spuninst. Bij dit hulpprogramma kunt u de volgende schakelopties voor de installatie gebruiken:
  • /?: De lijst met schakelopties weergeven.
  • /u: De modus zonder toezicht gebruiken.
  • /f: Andere programma's gedwongen afsluiten wanneer de computer wordt afgesloten.
  • /z: De computer niet opnieuw opstarten wanneer de installatie is voltooid.
  • /q: Stille modus gebruiken (geen gebruikersinteractie).

Computer opnieuw opstarten

De computer moet na het toepassen van deze update opnieuw worden opgestart. De reden hiervoor is dat met deze update binaire bestanden van het kernsysteem worden vervangen die worden geladen tijdens het opstarten van de computer. De computer is kwetsbaar totdat u deze opnieuw hebt opgestart.

Bestandsinformatie

De Engelse versie van deze hotfix heeft de bestandskenmerken die in de volgende tabel worden weergegeven (of recentere kenmerken). De datums en tijden voor deze bestanden worden weergegeven in UTC-notatie (Coordinated Universal Time). Wanneer u de bestandsinformatie weergeeft, wordt deze naar lokale tijd geconverteerd. Als u het verschil tussen UTC en lokale tijd wilt bepalen, gebruikt u het tabblad Tijdzone van de optie Datum en tijd in het Configuratiescherm.

Windows XP met Service Pack 1 (SP1) 
   Datum       Tijd   Versie        Grootte     Bestandsnaam
   ------------------------------------------------------
   07-nov-2002  22:47  5.1.2600.1140  505.856  Rpcrt4.dll
Windows XP
   Datum         Tijd   Versie       Grootte     Bestandsnaam
   -----------------------------------------------------
   08-nov-2002  02:16  5.1.2600.105  439.296  Rpcrt4.dll
Windows 2000
   Datum         Tijd   Versie        Grootte     Bestandsnaam
   ------------------------------------------------------
   25-oct-2002  22:07  5.0.2195.6089  943.376  Ole32.dll
   25-oct-2002  22:07  5.0.2195.6106  429.840  Rpcrt4.dll
   25-okt-2002  22:07  5.0.2195.6089  184.592  Rpcss.dll
U kunt ook de volgende registersleutel bekijken om te controleren welke bestanden met deze update zijn geïnstalleerd:

Windows XP met Service Pack 1 (SP1):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q331953\Filelist
Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\Q331953\Filelist
Windows 2000:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q331953\Filelist
Naar boven | Geef ons feedback

Status

Microsoft heeft bevestigd dat dit probleem zich kan voordoen in de Microsoft-producten die worden vermeld in de sectie 'Van toepassing op'.

Windows XP

In Microsoft Windows XP Service Pack 2 is voor het eerst een correctie opgenomen voor dit probleem.

Windows 2000

In Windows 2000 Service Pack 4 is voor het eerst een correctie opgenomen voor dit probleem.
Naar boven | Geef ons feedback

Meer informatie

Als u meer informatie wilt over dit beveiligingslek, gaat u naar de volgende Microsoft-website:
http://www.microsoft.com/technet/security/bulletin/MS03-010.mspx
(http://www.microsoft.com/technet/security/bulletin/MS03-010.mspx)
Naar boven | Geef ons feedback

Eigenschappen

Artikel ID: 331953 - Laatste beoordeling: zaterdag 1 december 2007 - Wijziging: 10.7
De informatie in dit artikel is van toepassing op:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows® 2000 Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Trefwoorden: 
atdownload kbwinxpsp2fix kberrmsg kbwin2ksp4fix kbsecvulnerability kbsecurity kbsecdos kbsecbulletin kbwinxppresp2fix kbbug kbfix kbwin2000presp4fix KB331953
Naar boven | Geef ons feedback

Geef ons feedback

 
Naar bovenNaar boven